Jueves, 7 de septimbre de 2023. Un ciberataque a la red de transporte, al sistema financiero, a la red de asistencia sanitaria o a las infraestructuras de suministro de energía puede tener fatales consecuencias económicas y sociales para un país. ¿Estamos protegidos?
El funcionamiento correcto de estas infraestructuras y, por lo tanto, el suministro regular de sus servicios esenciales, dependen cada vez más de las tecnologías digitales. Esta digitalización creciente, si de un lado mejora la eficiencia de las entidades y facilita el abastecimiento de sus servicios, por otro las expone a nuevas ciberamenazas, como demuestran los numerosos ciberataques contra infraestructuras críticas (en particular hospitales y centros de investigación médica) perpetrados durante la pandemia y, ahora, en el contexto de la guerra en Ucrania.
Recordemos el ciberataque lanzado el mismo día del inicio de la agresión militar rusa contra la red de satélites KA-SAT que provocó la interrupción de las comunicaciones entre agencias gubernamentales ucranianas, además de afectar a decenas de miles de clientes en Ucrania y en toda Europa.
No es de extrañar, por tanto, que la UE haga de la ciberseguridad y del desarrollo de entidades críticas sólidas una de sus prioridades. De este modo, en enero de este año entraron en vigor la Directiva 2022/2555 sobre las medidas para un elevado nivel común de ciberseguridad en la UE (Directiva SRI 2) y la Directiva 2022/2557 sobre la resiliencia de las entidades críticas (Directiva CER).
¿Qué instalaciones están en riesgo?
El objetivo es que su aplicación conjunta refuerce la seguridad cibernética y material de las entidades o infraestructuras críticas de los Estados miembros. Estas son todas aquellas instalaciones que proporcionan servicios esenciales para el mantenimiento de funciones sociales vitales, las actividades económicas, la salud pública y la seguridad o el medio ambiente y que, por tanto, necesitan de especial protección, física y cibernética. Pensemos, por ejemplo, en las entidades del sector de la energía (como las empresas suministradoras de gas), del transporte (compañías aéreas), del sector sanitario (hospitales) o de la infraestructura digital (motores de búsqueda).
Las Directivas SRI 2 y CER intentan así suplir la necesidad de acercar las dimensiones físicas y cibernéticas de la seguridad de las infraestructuras críticas. La primera deroga la Directiva SRI de 2016 (sobre medidas para aumentar la seguridad de las redes y sistemas de información europeos) y establece un marco normativo común de ciberseguridad. Con este fin, amplía los sectores protegidos de siete a once –a energía, transporte, banca, infraestructuras de los mercados financieros, sistema sanitario, suministro de agua potable e infraestructura digital, se suman ahora el tratamiento de aguas residuales, la gestión de servicios TIC, entidades de la Administración Pública (salvo parlamentos, bancos centrales y poder judicial) y el espacio– y elimina la distinción entre operadores de servicios esenciales y proveedores de servicios digitales, al no reflejar ya esta diferenciación la importancia de los servicios digitales para el mercado interior de la UE.
En la nueva directiva las entidades se clasifican en función de su importancia y se dividen en entidades “esenciales” en sectores de “alta criticidad” (los de su Anexo I, como los de la energía, del transporte o el bancario) y entidades “importantes” en “otros sectores críticos” (los del Anexo II, como los servicios postales y de mensajería, de gestión de residuos o los servicios digitales), estando sujetas a regímenes diferentes de supervisión por parte de las autoridades competentes de los Estados miembros.
Estos deberán introducir toda una serie de medidas para gestionar los riesgos de ciberseguridad de las compañías, entre ellas, la adopción de estrategias nacionales de ciberseguridad en los sectores críticos que prevean políticas de gestión de vulnerabilidades, de formación y de sensibilización de la ciudadanía en materia de ciberseguridad.
En cuanto a la Directiva CER, que sustituye a la Directiva 2008/114/CE (sobre identificación y designación de infraestructuras criticas europeas), también instaura un marco jurídico europeo para mejorar la capacidad de las entidades críticas de prevenir, responder y recuperarse de incidentes causados, entre otras cosas, por catástrofes naturales, como las emergencias de salud pública o por amenazas provocadas por el hombre, como el terrorismo, el sabotaje o las amenazas híbridas.
La regulación se amplía a nueve sectores mas
Apunta, por tanto, a reducir las vulnerabilidades y fortalecer la resiliencia física de las infraestructuras críticas de la UE con el fin de garantizar la prestación ininterrumpida de servicios esenciales para el mercado interior europeo. Para ello, amplía su ámbito de regulación a nueve sectores más, de manera que estos coincidan con los sectores de “alta criticidad” de la Directiva SRI 2.
En términos generales, la Directiva CER prevé normas para la identificación y supervisión de las entidades críticas, la realización de evaluaciones de riesgos, la creación de procedimientos comunes de cooperación e información y el desarrollo de planes de respuestas por parte de los operadores de las entidades críticas.
Los Estados miembros tienen ahora hasta el 17 de octubre de 2024 para transponer ambas Directivas en sus legislaciones nacionales. Esperemos que las medidas que adopten para cumplir con ellas sirvan para prevenir de manera más eficaz la difusión de pandemias digitales que pueden causar consecuencias sociales, políticas y económicas tan graves como las pandemias naturales.
Andrea Cocchini, Profesor de Derecho internacional público, Universidad de Navarra
Sea el primero en desahogarse, comentando