“ES FUNDAMENTAL CONTAR CON LAS EMPRESAS PARA INCORPORAR CON EFICACIA LA NORMATIVA EUROPEA DE CIBERSEGURIDAD”

Noticias

6 de noviembre de 2017

La Fundación ESYS (Empresa, Seguridad y Sociedad) presenta un informe en el que recoge la opinión de las empresas para transponer la Directiva NIS al ordenamiento jurídico español.

Entre las principales conclusiones del informe presentado por la Fundación ESYS en la sede de ENDESA destacan que:

  • Hay que mejorar la colaboración y la comunicación entre las empresas y la Administración como factor clave para tener altos estándares de ciberseguridad.
  • Las empresas solicitan un marco normativo simplificado y claro.
  • La obligación de notificar los incidentes de ciberataques se maneje con las debidas medidas de control para evitar daños reputacionales añadidos a la víctima.

La relevancia del informe elaborado por ESYS se basa en que, entre otras fuentes, aporta la opinión de los principales expertos de casi una cincuentena de las más grandes y relevantes empresas españolas.

En el acto intervino el Presidente de la Fundación, Javier Gómez-Navarro que reforzó el argumento resultado del estudio sobre la necesidad de contar con las empresas para que las normas, en concreto la Directiva NIS, tenga la necesaria eficacia en un tema como la ciberseguridad que afecta de manera exponencial a todos los sectores de la economía y de la vida social y política. En este sentido, recordó ejemplos como el WannaCry o la intrusión en las cuentas de correo electrónico del Partido Demócrata de los EE.UU.

 Por su parte, Eduardo Serra, exministro de Defensa y Presidente de la Asociación DigitalES planteó en su intervención en que internet es la vía de comunicación utilizada masivamente por toda la sociedad actual y que sus ventajas son enormes pero sus inconvenientes también. Entre ellos el robo de datos, la intrusión en la gestión o la destrucción de la información, actividades delictivas que son conocidas como ciberataques.

Ambos coincidieron en llamar la atención acerca de la urgencia de trabajar más en la ciberseguridad, ya que los ciberataques pueden afectar a múltiples, millones, de usuarios, fundamentalmente por dos causas: porque les afecte directamente a sus dispositivos (ordenadores, teléfonos inteligentes, tabletas) o porque afecte a sus datos alojados en otros dispositivos (servidores) o porque afecte a sus derechos y libertades.

Directiva NIS

Hay que recordar que el Parlamento Europeo aprobó, en julio del pasado año, la Directiva (UE) 2016/1148 que, conocida como Directiva NIS, establece unos estándares comunes de seguridad cibernética y fomenta la cooperación entre los  países  comunitarios en  la lucha  por  prevenir ciberataques.

El objetivo principal de esta Directiva es hacer frente común a la nueva amenaza global que tiene su base en las comunicaciones realizadas por Internet. Los Estados miembro disponen de 21 meses para transponer la Directiva a sus respectivos ordenamientos jurídicos, es decir hasta el 25 de mayo de 2018.

Resultados de la Encuesta

En opinión mayoritaria de los expertos que han colaborado en el informe, la transposición de la Directiva a la legislación española no se puede realizar sin contar con la participación de las empresas españolas.

Entre las principales conclusiones del Estudio que se manifestaron durante la presentación resaltaron las siguientes:

  1. La UE debería mantener y publicar los estándares de ciberseguridad como una certificación opcional y no obligatoria.
  2. La Comunicación de los incidentes de ciberseguridad deben centralizarse en una Ventanilla Única con flexibilidad en los plazos y un marco de actuación armonizado.
  3. Debe limitarse la responsabilidad del Operador de Servicios Esenciales en la notificación de incidentes para evitar consecuencias en su reputación.
  4. Se debe garantizar la confidencialidad en el intercambio de información.
  5. Para mejorar la eficacia en la identificación de incidentes se debe aumentar la colaboración público-privada para categorizar criterios, p.e. los limitados a las interrupciones del servicio.
  6. Se debe aplicar un Enfoque Global a productos TIC aplicando criterios de seguridad por diseño.
  7. Para mejorar la eficiencia de la Ciberseguridad se deben evitar duplicidades normativas a nivel europeo y español armonizando las legislaciones.
  8. Se debe clarificar a qué equipo de respuesta a incidentes de seguridad (CSIRT) debe reportar cada empresa.
  9. Las empresas deben participar activamente en la definición de criterios y mecanismos de aplicación de la Directiva NIS.

Por este motivo, desde la Fundación ESYS se insiste en que las autoridades españolas deberían despejar cualquier incertidumbre antes del 25 de mayo de 2018 y, en todo caso, “a la mayor brevedad para evitar la inseguridad jurídica” tras consultar a los distintos interesados, especialmente empresas.

El estudio, para el que se ha contado con la opinión de expertos de Ciberseguridad de importantes empresas españolas, pretende presentar las principales novedades que ofrece la Directiva europea y exponer algunas propuestas de enfoque basadas en la experiencia de las empresas españolas en la aplicación de soluciones de Ciberseguridad.

Para más información puede contactar con la Fundación ESYS en el teléfono 914252577 o través del correo electrónico prensa@fundacionesys.com.

También te puede interesar…