Noticias
Las grandes empresas que oculten un ciberataque podrán ser sancionadas
Las empresas operadoras de servicios esenciales (como electricidad o transporte) y las proveedoras de servicios digitales que, por razones de imagen u otras, no notifiquen sin dilación ciberataques significativos o no adopten medidas para evitarlos podrán ser castigadas por vez primera con “sanciones efectivas, proporcionadas y disuasorias”. Así figura en el borrador de decreto ley que ultima el Gobierno para trasponer a la legislación española la Directiva 016/1148 de Seguridad de las Redes y Sistemas de Información de la UE —la directiva NIS—.
Los ciberataques masivos y a escala global de los pasados 12 de mayo y 27 de junio, a través de los virus WannaCry y Petya, que secuestraron cientos de miles de ordenadores y exigieron el pago de rescate por liberarlos, dejaron en evidencia la vulnerabilidad de las redes de información de las que dependen cada vez más las sociedades avanzadas.
Aunque los efectos en España de ambos ciberataques fueron limitados, confirmaron la necesidad de disponer cuanto antes de un instrumento legal que permita a la Administración garantizar que este tipo de empresas adoptan las medidas para proteger sus sistemas de información de los ataques de los hackers o que, al menos, son lo bastante resilentes para garantizar la continuidad en la prestación del servicio.
En el caso del WannaCry, el parche de seguridad que tapaba la vulnerabilidad por la que se coló el ransomware fue distribuida por Microsoft el pasado 14 de marzo, pero muchas empresas aún no lo habían instalado.
El Gobierno trabaja ya en un instrumento legal que le dotará de capacidad para supervisar la seguridad de los sistemas informáticos de estas compañías, imponerles la adopción de medidas preventivas e incluso sancionarlas si no las aplicaran o incumplieran la obligación de notificar ciberataques significativos.
Se trata de un real decreto ley en cuya elaboración participan el Departamento de Seguridad Nacional, el Ministerio del Interior, el servicio secreto CNI y la Secretaría de Estado de Sociedad de la Información y Agenda Digital, que coordina los trabajos. Su objetivo es trasponer la llamada directiva NIS del Parlamento Europeo y el Consejo, que debe estar incorporada a la legislación de los estados miembros en mayo próximo.
La Directiva NIS obliga a elaborar un listado de los operadores de servicios esenciales y de los proveedores de servicios digitales, públicos y privados, y a comunicarlos a la Comisión Europea. Aunque no especifica cuáles son, un anexo enumera los sectores afectados: energía (electricidad, crudo y gas), transporte (aéreo, marítimo, ferrocarril y carretera), financiero (banca y mercados), sanitario, agua potable e infraestructura digital.
La Administración podrá realizar auditorías de seguridad a las operadoras de servicios esenciales e imponerles “instrucciones vinculantes” para subsanar las deficiencias detectadas; y supervisar a posteriori a los prestadores de servicios digitales y exigirles que adopten medidas para cumplir los requisitos en materia de seguridad.
Ambos tipos de compañías estarán obligadas a comunicar “sin dilación indebida” a las autoridades responsables los “incidentes con efecto perturbador significativo”; es decir, que afecten a la continuidad del servicio.
La gravedad del ciberataque dependerá del número de usuarios afectados, la dependencia de otros sectores del servicio que presta la entidad atacada, su cuota de mercado, la repercusión del incidente, su duración o extensión geográfica. Las autoridades españolas comunicarán estos incidentes a sus homólogas de los demás Estados de la UE que puedan resultar afectados. Esta información será confidencial, pero la Administración podrá informar al público u obligar al operador afectado a que lo haga “cuando la concienciación social sea necesaria para evitar un incidente o gestionar uno ya producido”.
Entre los aspectos que deberá concretar el decreto ley están las sanciones que deberán afrontar las empresas privadas prestadoras de servicios esenciales o digitales por no notificar ciberataques significativos o no tomar las medidas para evitarlos, ya que la directiva europea solo indica que serán “efectivas, proporcionadas y disuasorias”. Fuentes gubernamentales señalan que las sanciones serán graduales, en función de la repercusión que tenga el incidente de seguridad o del nivel de incumplimiento, pero no quisieron concretarlas alegando que este aspecto aún no se ha cerrado.
Dado el carácter transnacional de los principales proveedores de servicios digitales (como buscadores), la directiva obligará a estas compañías a designar a un representante en un país de la UE, a cuya jurisdicción quedarán sometidas.