El pri­mer estu­dio sobre leyes y polí­ti­cas para ciber­se­gu­ri­dad en Euro­pa encuen­tra dife­ren­cias y divi­sio­nes en rela­ción a la pre­pa­ra­ción de los Esta­dos miem­bros en temas infor­má­ti­cos. 

El infor­me, publi­ca­do el 6 de mar­zo por BSA | The Soft­wa­re Allian­ce, eva­lúa las leyes, las nor­ma­ti­vas y las polí­ti­cas nacio­na­les en todos los 28 Esta­dos miem­bros de la UE en rela­ción a 25 cri­te­rios esti­ma­dos como esen­cia­les para garan­ti­zar la pro­tec­ción efec­ti­va en ciber­se­gu­ri­dad. Este infor­me ha sido ela­bo­ra­do para ofre­cer a los Esta­dos miem­bros de la UE una opor­tu­ni­dad para eva­luar sus polí­ti­cas nacio­na­les fren­te a unas uni­da­des de medi­da esen­cia­les y repre­sen­ta un avan­ce, ya que des­cri­be los prin­ci­pa­les com­po­nen­tes para el esta­ble­ci­mien­to de un sóli­do mar­co legal para ciber­se­gu­ri­dad.

“Obser­va­mos un entorno des­igual cuando habla­mos de la pro­tec­ción infor­má­ti­ca en Euro­pa. La mayo­ría de los Esta­dos miem­bros reco­no­ce que la ciber­se­gu­ri­dad es una prio­ri­dad, aun­que las incon­sis­ten­cias en sus enfo­ques dejan a todo el Mer­ca­do Úni­co en una zona vul­ne­ra­ble a las ame­na­zas”, afir­mó Tho­mas Boué, direc­tor de polí­ti­cas de BSA EMEA. “La Direc­ti­va sobre Redes y Segu­ri­dad de la Infor­ma­ción podría ayu­dar a esta­ble­cer un nivel bási­co y más sóli­do en ciber­se­gu­ri­dad y una mayor resis­ten­cia infor­má­ti­ca si se cen­tra en armo­ni­zar la pre­pa­ra­ción de las infra­es­truc­tu­ras más crí­ti­cas de Euro­pa y si intro­du­ce unos pro­ce­sos comu­nes para la dis­tri­bu­ción y la ela­bo­ra­ción de infor­mes en todo el Mer­ca­do Úni­co”.

Entre las prin­ci­pa­les con­clu­sio­nes del infor­me pode­mos des­ta­car:

• La mayo­ría de Esta­dos miem­bros de la UE reco­no­ce que la ciber­se­gu­ri­dad es una prio­ri­dad nacio­nal, espe­cial­men­te en lo rela­ti­vo a las infra­es­truc­tu­ras crí­ti­cas.
• Exis­ten dis­cre­pan­cias con­si­de­ra­bles entre las polí­ti­cas, los mar­cos lega­les y las capa­ci­da­des ope­ra­ti­vas sobre ciber­se­gu­ri­dad en los Esta­dos miem­bros, lo que crea unas dife­ren­cias nota­bles en la pro­tec­ción gene­ral de la ciber­se­gu­ri­dad en Euro­pa.
• Casi todos los Esta­dos miem­bros de la UE han esta­ble­ci­do equi­pos espe­cia­li­za­dos para ocu­par­se de inci­den­tes infor­má­ti­cos. Sin embar­go, varían los obje­ti­vos y la expe­rien­cia de dichas enti­da­des.
• Exis­te una preo­cu­pan­te fal­ta de coope­ra­ción sis­te­má­ti­ca en los sec­to­res públi­co y pri­va­do y de cola­bo­ra­ción en temas rela­cio­na­dos con la ciber­se­gu­ri­dad entre los gobier­nos de la UE, orga­nis­mos no guber­na­men­ta­les y part­ners inter­na­cio­na­les.

El infor­me seña­la que Espa­ña adop­tó una Estra­te­gia Nacio­nal de Ciber­se­gu­ri­dad en 2013, la cual es com­pa­ti­ble tan­to con el Plan Nacio­nal de Segu­ri­dad como con las leyes de segu­ri­dad exis­ten­tes, de modo que la estra­te­gia y el mar­co legal tra­ba­jan en con­jun­to. Asi­mis­mo, Espa­ña tie­ne varios equi­pos de res­pues­ta ante emer­gen­cias infor­má­ti­cas ope­ra­ti­vos para hacer fren­te a las inci­den­cias de ciber­se­gu­ri­dad y segu­ri­dad infor­má­ti­ca, y para garan­ti­zar la coor­di­na­ción entre los sec­to­res públi­co y pri­va­do. El Cen­tro Nacio­nal para la Pro­tec­ción de Infra­es­truc­tu­ras Crí­ti­cas (CNPIC) fun­cio­na con gru­pos de tra­ba­jo sec­to­ria­les y está desa­rro­llan­do pla­nes de ciber­se­gu­ri­dad espe­cí­fi­cos por sec­to­res. Ade­más, las aso­cia­cio­nes del sec­tor pri­va­do son bas­tan­te acti­vas y cuen­tan con dos amplios gru­pos dedi­ca­dos espe­cí­fi­ca­men­te a la segu­ri­dad infor­má­ti­ca y la ciber­se­gu­ri­dad.

El infor­me ani­ma a los Esta­dos miem­bros de la UE a cen­trar­se en los cua­tro ele­men­tos esen­cia­les para un sóli­do mar­co legal en ciber­se­gu­ri­dad:

• Desa­rro­llo y man­te­ni­mien­to de un mar­co legal com­ple­to ‑tan­to polí­ti­co como legislativo‑, basa­do en una estra­te­gia de ciber­se­gu­ri­dad a nivel nacio­nal y com­ple­men­ta­da con pla­nes de ciber­se­gu­ri­dad espe­cí­fi­cos para cada sec­tor.
• Esta­ble­ci­mien­to de enti­da­des ope­ra­ti­vas con res­pon­sa­bi­li­da­des cla­ras en segu­ri­dad infor­má­ti­ca, emer­gen­cias yres­pues­ta a inci­den­tes.
• Sus­ci­tar con­fian­za y cola­bo­rar en alian­za con el sec­tor pri­va­do, ONG, part­ners y alia­dos inter­na­cio­na­les.
• Pro­mo­ver la edu­ca­ción y la con­cien­cia­ción sobre ries­gos y prio­ri­da­des en ciber­se­gu­ri­dad.

Al mis­mo tiem­po, el infor­me advier­te a los gobier­nos euro­peos que evi­ten regí­me­nes pro­tec­cio­nis­tas poco coope­ra­do­res que pue­den debi­li­tar, en vez de mejo­rar, las pro­tec­cio­nes en ciber­se­gu­ri­dad. En espe­cial, los Esta­dos miem­bros debe­rían:

• Evi­tar requi­si­tos inne­ce­sa­rios o poco razo­na­bles que pue­den limi­tar la elec­ción e incre­men­tar cos­tes, inclu­yen­do la nece­si­dad de prue­bas o cer­ti­fi­ca­cio­nes exclu­si­vos y espe­cí­fi­cos para cada país; exi­gen­cias de con­te­ni­dos loca­les; la obli­ga­ción para dar a cono­cer infor­ma­ción con­fi­den­cial como, por ejem­plo, códi­go fuen­te o cla­ves de encrip­ta­ción y res­tric­cio­nes sobre pose­sión por par­te de extran­je­ros de pro­pie­dad inte­lec­tual.
• Evi­tar la mani­pu­la­ción de están­da­res, en vez de ofre­cer apo­yo a están­da­res téc­ni­cos uti­li­za­dos por la indus­tria y reco­no­ci­dos inter­na­cio­nal­men­te.
• Evi­tar nor­ma­ti­vas para loca­li­za­ción de datos y garan­ti­zar el trá­fi­co gra­tui­to de infor­ma­ción en los mer­ca­dos.
• Evi­tar las pre­fe­ren­cias por tec­no­lo­gías domés­ti­cas que pue­den obs­truir el acce­so a com­pe­ten­cia extran­je­ra y dañar la inno­va­ción mun­dial.

El infor­me com­ple­to de los 28 paí­ses, ade­más de los resú­me­nes deta­lla­dos para cada Esta­do miem­bro de la UE, se encuen­tran dis­po­ni­bles en http://cybersecurity.bsa.org/index.html.