En un post reciente trataba sobre la estrategia de ciberseguridad de la Unión Europea, publicada en la comunicación titulada “Cybersecurity Strategy of the European Union: An Open, Safe and Secure Cyberspace”, comentando que dejaría para más adelante mis consideraciones respecto al proyecto de directiva europea que se presentó como complemento a dicha estrategia. Cumpliendo mi promesa dedico este post a reflexionar sobre el mencionado proyecto, la denominada Directiva SRI (seguridad de las redes y de la información).
Cuando el pasado 7 de febrero de 2013 la Sra. Ashton, Alta Representante de la Unión para Asuntos Exteriores y Política de Seguridad, presentó la estrategia de ciberseguridad de la UE lo hizo acompañada de un paquete de medidas complementarias que incluía una propuesta de Directiva de la Comisión sobre la seguridad de las redes y de la información (SRI). En ella sobresalen tres elementos principales; el primero de ellos se refiere a la necesidad de reforzar las capacidades nacionales en materia de ciberseguridad, para lo cual se establece la exigencia a todos los Estados miembros de designar una autoridad nacional de ciberseguridad, adoptar su propia estrategia de SRI y disponer de una estructura operativa y financiera adecuada para la prevención, gestión y respuesta a riesgos e incidentes que afecten a las redes y a los sistemas de información.
Un segundo aspecto concierne al refuerzo de la coordinación europea en materia de respuesta a incidentes de ciberseguridad; para ello se deberá instaurar un mecanismo de cooperación entre los Estados miembros y la Comisión que garantice la aplicación uniforme de las medidas señaladas en la Directiva y, en su caso, difundir alertas tempranas sobre riesgos e incidentes a través de una infraestructura segura, así como cooperar y organizar revisiones periódicas con los mecanismos equivalentes de los Estados.
Finalmente el tercer elemento principal trata de las obligaciones que alcanzan a diversos sectores, como los operadores de infraestructuras críticas y las administraciones públicas, quienes deberán adoptar prácticas de gestión de riesgos y notificar a la autoridad nacional de cibereguridad los incidentes significativos que se produzcan en relación con los servicios básicos que prestan.
Desde el momento de su presentación la propuesta de Directiva ha suscitado todo tipo de reacciones, favorables y adversas. Por un lado se encuentran aquellos que consideran que por fin se decide llenar un vacío en una materia de la mayor importancia , mientras que por otro están quienes, aun apoyando la iniciativa, consideran que invade determinados aspectos, principalmente jurídicos, que la hacen de difícil aplicación.
Uno de los principales temas abiertos al debate se refiere a la obligación de notificar los incidentes de seguridad. En este asunto, que si bien parece lógico, no es práctica habitual actualmente, muchos de los opositores a la medida coinciden en señalar que, aun estando de acuerdo en la necesidad de informar, no lo están en que sea un mandato europeo, por entender que la seguridad es de responsabilidad nacional y tal medida equivale a una intervención comunitaria, la cual, además de ser de difícil aplicación práctica, sería un foco de potenciales problemas en múltiples sectores, como por ejemplo en el caso de algunas tareas propias de los servicios de inteligencia nacionales.
En este mismo contexto también señalan los detractores que el mandato obliga al sector privado y a las administraciones nacionales de forma unidireccional, lo cual les privaría del acceso a los conocimientos que aportaría el intercambio de información si fuera multidireccional, impidiéndoles por ejemplo conocer algunas de las nuevas amenazas para mejorar la propia gestión de riesgos.
En lo que respecta a aspectos legales según los expertos la directiva presenta algunas lagunas importantes entre ellas no considerar la implementación de instrumentos jurídicos comunitarios que amparen estas obligaciones. Asimismo se destaca una cuestión derivada de la propia naturaleza de Internet y también de la famosa Nube: ¿cómo será posible que una autoridad nacional pueda aplicar ciertas reglas a empresas que tengan localizados datos, servidores, etc., fuera de territorio europeo pero ofrezcan sus servicios en este? Tal problema y otros similares tienen solución pero no es fácil de implementar y menos por medio de una directiva europea.
Otro elemento de debate se refiere a la obligación de instaurar una autoridad y estructura nacional en dominio de la ciberseguridad; algunos países como Francia, Alemania o el Reino Unido disponen de organismos apropiados pero otros, por ejemplo España, presentan competencias repartidas entre diferentes Ministerios y será complicado conseguir consensos respecto a una autoridad superior.
Un aspecto mas a destacar es el referente a los plazos de implantación de la directiva. A las reticencias de algunos sectores, que causarán retrasos, habrá que añadir un largo proceso de debate en diferentes organismos nacionales y comunitarios, incluidos los Parlamentos. Posteriormente, cuando se adopte la Directiva los Estado Miembros dispondrán de otros plazos superiores al año para integrar las medidas en sus sistemas jurídicos, particularmente las sanciones a aplicar. Todo ello significa que las estimaciones de aplicación de la Directiva llevarán más allá del horizonte 2016/2017.
Finalmente expondré una opinión personal: una vez más se abarca el problema de forma parcial, incidiendo en la ciberseguridad y olvidando la ciberdefensa. En el proyecto de directiva SRI no existe una sola referencia a la Política de Defensa y Seguridad Común (PDSC) ni a a la ciberdefensa, mientras que en la Estrategia de ciberseguridad si bien se menciona a ambas se hace de forma muy superficial, insistiendo en la necesidad de mejorar sinergias entre los enfoques civiles y militares e invitando a los Estados Miembros y a la Agencia Europea de Defensa (EDA) a colaborar en el desarrollo de un marco de política de ciberdefensa. Es decir una adecuada declaración de intenciones y principios sin ninguna indicación sobre la forma de ponerlos en práctica, en contraste con el amplio despegue de medidas respecto a la ciberseguridad.
Felicitémonos pues por la presentación de la Directiva (o proyecto de ella) que servirá para mejorar la estrategia comunitaria en este dominio implicando a todos los sectores, incluyendo de forma clara a los operadores de infraestructuras críticas, con el objetivo de conseguir y mantener un entorno digital seguro y fiable en la Unión. Pero existen dudas sobre la viabilidad de su implantación como doctrina única para la seguridad europea en el ciberespacio. Habrá que seguir trabajando para lograr alcanzar otros objetivos comunes, mejorar lo conseguido y abarcar a todos los sectores, incluida la ciberdefensa.