Comentarios sobre la propuesta de Directiva Europea de ciberseguridad

Como continuación a la entrada sobre la "Estrategia de Ciberseguridad de la UE", hemos analizado detalladamente la propuesta de Directiva sobre la seguridad de las redes y los sistemas de información que también vio la luz en aquel momento.

La conclusión general sería que, si sale adelante en los términos en que está propuesta, estaremos ante un paso adelante cualitativo en la manera de entender la seguridad de la información en la Unión Europea que consideramos nos posicionará a la cabeza en esta materia.

No obstante, a nuestro juicio, existen algunas opciones de mejora sobre la misma (aunque quizás se deba a que antes de correr, haya que aprender a andar) que nos gustaría reflejar en esta entrada.

Alcance

El texto propuesto deja fuera todo lo que no sean "operadores de mercado" y administraciones públicas y, explícitamente a las micropymes. No obstante, a nuestro juicio, en un escenario de defensa como es el recogido por la Directiva, esto supone dejar eslabones débiles en la cadena que, afectan al nivel de seguridad global [el nivel de seguridad no es la media, es el mínimo de todos los puntos].

Para solventar  el potencial problema de viabilidad económica, se podría plantear una gradación en cuanto a las medidas de seguridad mínimas, de forma que, en función de determinados criterios (tipo de actividad, volumen de recursos técnicos gestionados, etc.) a los más pequeños se le pidan solo medidas muy básicas que no afecten a su viabilidad económica pero que, por el contrario, no supongan un eslabón demasiado débil.

Armonización de medidas y sanciones

En el texto parece darse a entender que cada Estado Miembro definirá los requisitos mínimos y las sanciones en caso de incumplimiento. En nuestra opinión, dado que se aborda la mejora del nivel de seguridad de medida coordinada en toda la UE, tanto las medidas de seguridad mínimas como las sanciones deberían estar armonizadas para no generar, ni desequilibrios en el espacio económico común ni, de nuevo, eslabones débiles.

Objetivos de las estrategias nacionales

Aunque basar dichos objetivos en un análisis de riesgos es perfectamente académico, volviendo a nuestro escenario anterior (de defensa), consideramos que es más adecuado definir nuestra estrategia en función de los escenarios que más daño del atacante pudieran causar, más que en los más probables (esto sería más adecuado para una estrategia de ataque). Por lo tanto, pensamos que dichas estrategias deberían tener más en cuenta el impacto que la probabilidad de las amenazas.

Seguridad ágil

Aunque la Directiva propuesta habla de resiliencia y aborda alguna de las medidas para conseguirla, a saber, la detección temprana y la respuesta rápida, no se menciona el tercer componente necesaria para una estrategia ágil de seguridad que desemboque en unos sistemas resilientes: el apalancamiento en el incidente. Se hace necesario incluir este tipo de medidas que garantice que se aprende del incidente y se modifican los sistemas y las redes para avanzar en dicha resiliencia.

Notificación de incidentes

En relación a este tema, solo dos matices:

  • Sería interesante considerar ANSs entre los distintos CERTs nacionales para notificar las alertas tempranas.
  • A la hora de notificar, deberían incluirse mecanismos para notificar también incidentes "poco" graves pero que puedan servir para detectar pautas de comportamiento globales o síntomas de ataques más "graves".

Implementación y aplicación

En este aspecto, pensamos que la labor de control es fundamental para asegurar una aplicación efectiva de la Directiva. Por dicho motivo, modelos como el de las ITV o el de auditoría financiera, pensamos que podrían ser de aplicación. De forma que se deje oportunidad para la iniciativa privada para auto-regularse y/o desarrollar la actividad de auditoría, siempre bajo la supervisión del órango administrativo competente.