Acuerdo Europeo sobre Ciberseguridad

El pasado lunes 7 de diciembre, el Parlamento Europeo y los gobiernos de los 28 países miembros de la Unión Europea, cerraron un acuerdo para reforzar la ciberseguridad, principalmente enfocado para operadores y proveedores de servicios digitales.

El objetivo es impulsar una norma de rango europeo que permita unificar políticas comunes contra delitos tecnológicos y amenazas de esta índole, y reforzar así el escenario actual en que nos movemos, de manera especial para sectores críticos como la energía, el transporte, las finanzas o la salud.

Se trata de una reacción esperada tras las últimas amenazas que estamos viviendo, no solamente por la inestabilidad política en Oriente Medio que se extiende por nuestro continente, sino en la voluntad de reforzar la seguridad europea frente a los vaivenes vividos tras la anulación del principio de Safe Harbor (Puerto Seguro).

El contexto ha cambiado totalmente respecto de la primera estrategia que plantearon en 2013 en el Parlamento Europeo, cuando se iniciaron las negociaciones de este asunto, cuyas prioridades eran:

1. La ciberresiliencia;
2. La reducción drástica de la delincuencia en la red;
3. El desarrollo de una política de ciberdefensa y de las capacidades correspondientes en el ámbito de la Política Común de Seguridad y Defensa (PCSD);
4. El desarrollo de los recursos industriales y tecnológicos necesarios en materia de ciberseguridad;
5. El establecimiento de una política internacional coherente del ciberespacio en la Unión Europea y la promoción de los valores europeos esenciales.

De esta acuerdo se puede deducir que cada Estado miembro, a través de las autoridades nacionales correspondientes (entendiendo que sería la Agencia Española de Protección de Datos para España), deberán diseñar la estrategia a seguir y la forma de cooperación con el resto de países, con objeto de intercambiar buenas prácticas. Esta normativa obligará a los servicios en línea, servicios cloud o motores de búsqueda a garantizar una infraestructura segura, así como la obligación de poder reportar todos los incidentes que pudieran afectar a la seguridad de la información de forma inmediata.

Algunos medios se han hecho eco de que esta noticia ha supuesto la aprobación de una nueva Directiva sobre Ciberseguridad. En realidad se trata de un acuerdo de objetivos y planes para su desarrollo posterior por parte del Parlamento Europeo, que imagino que no tardará en ver la luz, pero por el momento no disponemos de una Directiva europea de Ciberseguridad.

Iván Ontañón

Consultor de Seguridad de la Información

Áudea Seguridad de la Información