Daniel Molina

Ley de Seguridad Cibernética: vigencia en la Unión Europea 2019

La Ley de Seguridad Cibernética entró en vigor el 27 de junio de 2019.

La Unión Europera pone ne vigencia la lueva Ley de Ciberseguridad

La ley de Seguridad Cibernética reconoce la importancia de la digitalización en la sociedad moderna y tiene como objetivo promover la seguridad de las tecnologías de la información y la comunicación (TIC). Como parte de la reforma de la ciberseguridad en Europa, el reglamento apunta a fortalecer la ciberseguridad.

Reforma de la Directiva NIS

El paquete de reformas de seguridad cibernética fue presentado por la Comisión Europea en septiembre de 2017. El objetivo es reducir la amenaza de los ataques cibernéticos y explotar las oportunidades que ofrecen las nuevas tecnologías. En este paquete (además de la Ley de seguridad cibernética) se incluye la Directiva de seguridad de la red y la información (NIS), que exige a los Estados miembros, entre otras cosas, definir una estrategia para abordar las amenazas de los delitos informáticos.

Debido al creciente número de ataques cibernéticos e incidentes de seguridad, la reforma se considera necesaria. Los antecedentes de esto son, entre otros, un sondeo de opinión realizado por la Comisión Europea en junio de 2017.

Según esto, el 86 por ciento de los europeos encuestados asume que el riesgo de ser víctimas de delitos informáticos está aumentando. 

Precisamente porque las redes digitales son cada vez más importantes, la Comisión ve una necesidad urgente de acción en el área de la ciberseguridad.

Más competencias para ENISA

La Agencia Europea de Ciberseguridad (ENISA), fundada en 2004, ha tenido solo un mandato temporal y recursos limitados. 

Apoyó a la Comisión Europea y los Estados miembros con directrices sobre aspectos técnicos de la seguridad de las redes y la información. 

Bajo el nuevo Reglamento, ahora sirve como punto de referencia para el asesoramiento y la experiencia en seguridad cibernética.

Como centro de excelencia, proporciona principalmente asesoramiento y apoyo, pero también tiene como objetivo promover la implementación de las políticas de ciberseguridad de la UE y la UE. 

Para ello, debe emitir declaraciones, emitir directrices y ofrecer asesoramiento y mejores prácticas sobre temas como la gestión de riesgos, la notificación de incidentes y el intercambio de información. 

El reglamento regula los objetivos, tareas y aspectos organizativos de ENISA, le otorga un mandato permanente y extiende sus competencias y recursos.

Certificaciones de ciberseguridad

El segundo marco regulatorio de la Ley de Ciberseguridad proporciona un marco para la certificación a nivel de la UE de productos, servicios y procesos de tecnologías de la información y la comunicación. 

En opinión de la Comisión Europea, las certificaciones desempeñan un papel crucial en la mejora de la confianza y la seguridad en los productos y servicios que son fundamentales para el mercado único digital.

Hasta ahora, las certificaciones para productos y servicios de TIC no han sido comunes, pero existía la posibilidad de ser certificadas en estados miembros individuales o dentro de programas propiedad de la industria. 

Estos procedimientos complejos y costosos ahora serán reemplazados por una certificación de ciberseguridad estandarizada en toda la UE. 

Esto debería permitir a las empresas ofrecer sus productos y servicios sin ninguna barrera para el mercado europeo. El marco para esta Certificación de Seguridad Cibernética debe ser construido y mantenido por ENISA.

El Certificado de Seguridad Cibernética en detalle

El nuevo esquema de certificación establecerá requisitos uniformes y criterios de evaluación para la ciberseguridad en toda la Unión

Consiste en un conjunto completo de regulaciones, requisitos técnicos, normas y procedimientos. 

El certificado de ciberseguridad certificará que los productos, servicios y procesos bajo revisión cumplen con ciertos requisitos de seguridad cibernética. 

También categorizará su confiabilidad usando los niveles bajo, medio o alto. 

La clasificación basada en los niveles de seguridad es el resultado de una evaluación de riesgos sobre la probabilidad de que se produzca un incidente de seguridad y cómo se verá afectado. 

También tiene en cuenta cómo se debe utilizar el producto, servicio o proceso.

El nivel “bajo” debe garantizar que los riesgos básicos conocidos para incidentes de seguridad y ataques cibernéticos se minimicen. 

Aquí también es posible que un fabricante o proveedor evalúe su conformidad por su propia cuenta y bajo su exclusiva responsabilidad.

Los productos, servicios y procesos certificados como “medianos” deben poder resistir los riesgos conocidos de ciberseguridad. 

Esto incluye el riesgo de incidentes de seguridad cibernética y ataques cibernéticos por parte de actores con capacidades y recursos limitados.

En el nivel “alto”, debe certificarse que los ataques cibernéticos de vanguardia pueden ser evitados por actores con amplias capacidades y recursos. 

Sin embargo, los considerandos de la Ley de Seguridad Cibernética dejan claro que incluso un producto, servicio o proceso con un certificado de alto nivel no es completamente seguro.

Mirando hacia el futuro

La introducción de la certificación a nivel de la UE tiene como objetivo promover el comercio transfronterizo de bienes y servicios en la UE y fortalecer aún más el mercado interno. Además, establecer estándares comunes puede aumentar la ciberseguridad.

En un futuro próximo, queda por ver cómo ENISA desarrollará los esquemas de certificación. También es importante especificar los requisitos concretos para la certificación y los organismos de certificación. Además, todavía es cuestionable cómo debe manejarse la transición a las certificaciones ya existentes. Los artículos individuales del reglamento entrarán en vigor solo el 28 de junio de 2021. 

Esto se refiere, entre otras cosas, a los organismos nacionales de certificación de la ciberseguridad, los organismos de evaluación de la conformidad, el derecho a presentar quejas y las sanciones.

Después de que las competencias de la Oficina Federal para la Seguridad de la Información (BSI) se hayan ampliado a nivel nacional en los últimos años, el fortalecimiento de ENISA ha dado lugar a una tendencia creciente hacia una mayor participación del gobierno en la regulación de las tecnologías de la información y la comunicación. 

Los esfuerzos de seguridad cibernética de la UE podrían sentar las bases para estándares más altos y posiblemente incluso para una Autoridad Cibernética de la UE más grande.

 

 

Daniel Molina Business Strategy | CyberSecurity | Risk | Virtual CISO | Speaker | Evangelist 

 

Ley de Seguridad Cibernética, Ley de Seguridad Cibernética, Ley de Seguridad CibernéticaLey de Seguridad Cibernética, Ley de Seguridad Cibernética, Ley de Seguridad Cibernética, Ley de Seguridad Cibernética, Ley de Seguridad Cibernética, Ley de Seguridad Cibernética, Ley de Seguridad Cibernática

86 / 100