Noticias

Comienza el contenido principal

Impulsando la ciberseguridad en Europa: el nuevo reglamento de la Unión Europea

| Noticias | Ciberseguridad / Derecho Mercantil y M&A

Vicente Moret analiza el nuevo Reglamento europeo sobre Ciberseguridad de la Unión Europea que entró en vigor el pasado día 27 de junio

El pasado día 27 de junio entró en vigor el nuevo Reglamento europeo sobre Ciberseguridad de la UE. Se trata de una norma fundamental que tendrá importantes repercusiones durante los próximos años respecto a las empresas del sector TIC y también para los ciudadanos. La UE ha adoptado este reglamento que marca un antes y un después respecto al marco regulatorio de la ciberseguridad en Europa. Esta norma se erige así junto al Reglamento General de Protección de Datos y la Directiva NIS en pilares fundamentales del modelo jurídico de gobernanza de la ciberseguridad que la UE adopta como propio en contraste con otros modelos jurídico-políticos de regulación del ciberespacio.

Esta norma básicamente tiene dos objetivos: Por un lado, reforzar el rol que ENISA (Agencia de la Unión Europea para la Ciberseguridad) va a desempeñar en los próximos años como organismo central en el esquema de ciberseguridad europeo. Por otro, se establece un marco regulatorio novedoso en cuanto a una cuestión central como es la creación de un esquema completo de certificación de productos, servicios y procesos TIC. El objetivo es doble; lograr un adecuado nivel de ciberseguridad en el ámbito de la UE, y al mismo tiempo avanzar en la creación de un auténtico mercado único digital.

La certificación de ciberseguridad desempeña un papel insustituible a la hora de aumentar la confianza del usuario especialmente en aspectos tales como la economía de los datos y el Internet de las Cosas (IoT). Vehículos autónomos, despliegue del 5G, automatización industrial, dispositivos médicos conectados, entre otros, constituyen enormes avances en la mejora de la vida de las personas y de los procesos productivos que solo serán posibles si se genera confianza hacia los dispositivos conectados a la red.La relevancia de esta nueva norma radica en que va a afectar profundamente a los esquemas nacionales de ciberseguridad previamente puestos en funcionamiento en la mayoría de los Estados miembros, ya que lo que pretende la UE es armonizar esas normativas nacionales partiendo de un esquema general europeo uniforme, y así evitar la fragmentación de mercado interior.

Esa fragmentación afecta como dice la propia norma muy especialmente al IoT. Se calcula que en 2020 habrá más de 20.000 millones de dispositivos de todo tipo y funcionalidad conectados a Internet, lo cual supone una enorme superficie de ataque. En definitiva, se trataría de crear un nuevo "pasaporte" común en materia de ciberseguridad que tenga la suficiente flexibilidad para intentar abarcar, sobre una base común, todas las necesidades y especificaciones presentes y futuras en esta materia.

Por otra parte, se establecen tres niveles de ciberseguridad: básico, sustancial y elevado, en función de la necesidad de incrementar el nivel de protección. La evaluación se llevará a cabo por terceros independientes, que no sean el fabricante, el prestador o el proveedor del producto o servicio los cuales, en función del nivel exigido según el riesgo, podrán ser organismos públicos o privados. También se prevé que se pueda llevar a cabo la autoevaluación del producto, servicio o proceso si estos presentan un nivel de riesgo bajo para el público. En principio, el Reglamento establece que el sometimiento al proceso de certificación tendrá carácter voluntario; no obstante, señala que los Estados tienen la capacidad para dotar de carácter obligatorio a esa certificación y señala a continuación el ámbito de la contratación pública, invitando así a aplicar de forma obligatoria el esquema de certificación europeo en las licitaciones de las Administraciones Públicas.

Además, se obliga a los Estados miembros a designar una o más autoridades nacionales de certificación que serán las responsables de supervisar el cumplimiento de las obligaciones derivadas del Reglamento. En cuanto a la plena implementación de este marco de certificación europeo, el propio Reglamento es consciente de la complejidad de su aplicación, y por ello la Comisión Europea publicará antes de junio de 2020 un programa de trabajo evolutivo que sentará las prioridades estratégicas en esta materia. Del texto del Reglamento se desprende que muy probablemente la UE empiece por desarrollar el esquema de certificación de los productos y servicios incluidos en el IoT, y especialmente aquellos relacionados con los sectores de actividad señalados como prioritarios en la directiva NIS: energía, transportes, agua, sanidad, banca e infraestructuras digitales. Es muy probable también que el progreso en el despliegue de las redes 5G, esencial para una plena funcionalidad de los dispositivos conectados, haga que la UE señale a las small cells como uno de los productos sobre los cuales se centrarán los primeros procedimientos en materia de certificación.

En definitiva, tras la aprobación de este reglamento se inicia una nueva etapa en la cual se pretende armonizar los dispersos sistemas de acreditación de la ciberseguridad nacionales ahora en vigor. Se trata de una etapa inicial pero muy relevante, porque cada Estado intentará que el futuro esquema europeo se acerque lo más posible a sus esquemas nacionales. No debe olvidarse que las empresas que primero consigan esa certificación europea obtendrán una ventaja competitiva notable en el contexto actual, en el cual la preocupación por la ciberseguridad es una constante.

Así mismo, abre una nueva vía de prestación de servicios TIC y jurídicos al posibilitar la creación de organismos de evaluación públicos o privados que podrán desarrollar sus funciones una vez acreditados por la autoridad nacional de certificación correspondiente. Por último, y desde el punto devista puramente legal, la certificación europea puede ser un potente mecanismo de defensa jurídica para las empresas ante la posible exigencia de responsabilidades de todo tipo derivadas de ciberincidentes graves.

Puede ver el artículo en Expansión

Fin del contenido principal