La UE aprueba nuevas normas que exigen a operadores de infraestructuras críticas a protegerse de ciberataques

La directiva sobre la seguridad de la información y de las redes reforzará la seguridad de las redes de información y de comunicación y la cooperación en ciberseguridad entre los Estados miembros para hacer frente a una amenaza creciente como son los ciberataques.

Las normas fijan obligaciones de seguridad para los operadores de infraestructuras críticas como la energía, los transportes y los servicios financieros y bancarios y el suministro de agua.

Algunos proveedores de servicios digitales como los motores de búsqueda, los servicios de computación en la nube y los puntos de venta online o plataformas de comercio electrónico también tendrán que adoptar medidas para garantizar la seguridad de su infraestructura e informar a las autoridades incidentes graves, aunque en su caso las exigencias de seguridad y notificación son menos estrictas. Las microempresas y las compañías pequeñas estarán exentas de la normativa por su parte.

Cada Estado miembro, que deberá identificar a los operadores que ofrecen servicios críticos atendiendo a criterios específicos, por ejemplo si el servicio es clave para la sociedad y la economía y si un incidente podría generar perturbaciones en la distribución de ese servicio y también deberá designar a autoridades nacionales competentes responsables de la seguridad de la información y las redes.

Los países también tendrán que crear una red de equipos nacionales de respuesta a incidentes de seguridad informáticos para gestionar riesgos y fallos y desarrollar respuestas coordinadas y habrá un grupo de coordinación a nivel europeo para el intercambio de información y asistir a países en el desarrollo de sus capacidades de ciberseguridad. Cada país deberá poner en marcha una estrategia para hacer frente a las amenazas de ciberataques.

La Agencia europea de seguridad en las redes (ENISA) también tendrá un papel clave para promover la cooperación entre países y aplicar las nuevas normas, que también exigen el respeto a la protección de datos.

Tras el visto bueno de la Eurocámara, la normativa entrará en vigor 20 días después de su publicación en el Diario Oficial de la UE y a partir de ahí los Estados miembros tendrán 21 meses para incorporarla a su legislación nacional y, seis meses más, para identificar a los operadores de servicios esenciales.

El 80 por ciento de las empresas europeas denunció haber sufrido el año pasado al menos un incidente de seguridad, un problema que ha crecido un 38% en todos los sectores en 2015 a nivel mundial y genera cientos de millones de euros en pérdidas económicas.

El vicepresidente de la Comisión Europea responsable de Mercado Digital, Andrus Ansip, ha avisado de que "un mercado único digital sólo se puede crearse en un entorno digital seguro" y ha defendido que la normativa es un paso "fundamental" para avanzar en este terreno, insistiendo en la necesidad de que ciudadanos y empresas confíen en los servicios digitales para aprovecharlos.

El comisario de Economía y Sociedad Digitales, Günter Oettinger, ha instado a los Estados miembro a aprovechar "los mecanismos de cooperación" que ofrece la directiva y que apoyen la propuesta que presentó ayer la Comisión para destinar 450 millones de euros para movilizar 1.800 millones de euros para investigar productos y servicios de ciberseguridad en el marco de un contrato público-privado. "Todas estas iniciativas se refuerzan y son vitales si queremos que nuestra economía y sociedad digitales crezcan", ha dicho.

La eurodiputada del PP y corresponsable de las negociaciones de la normativa en la Eurocámara, Pilar del Castillo, ha defendido que la directiva "es un gran avance" en ciberseguridad teniendo en cuenta que hasta ahora sólo había un enfoque "voluntario" y las capacidades nacionales y la preparación del sector privado "varían considerablemente entre los Estados miembro" y permitirá redoblar "los esfuerzos de prevención, cooperación y transparencia en relación con los incidentes en el ciberespacio".