Ciberseguridad: el nuevo Reglamento
A día de hoy resulta evidente que una de las principales preocupaciones en materia de seguridad es la ciberseguridad. Consciente de las amenazas que se ciernen en este campo, en los últimos tiempos la Unión Europea ha venido aprobando una serie de normas para reforzar la seguridad en relación con las tecnologías de información.
En ese contexto, el pasado 7 de junio se publicó el Reglamento (UE) 2019/881 del Parlamento Europeo y del Consejo, de 17 de abril de 2019, relativo a ENISA (Agencia de la Unión Europea para la Ciberseguridad) y a la certificación de la ciberseguridad de las tecnologías de la información y la comunicación («Reglamento sobre la Ciberseguridad»).
Esta norma, en vigor desde el 27 de junio de 2019, plantea como objetivos principales el establecer las funciones y la organización de la agencia de la Unión Europea para la ciberseguridad (ENISA) y el instaurar un sistema de certificación a escala europea que establezca requisitos y criterios comunes que aseguren unos estándares homogéneos en todos los mercados y sectores nacionales dentro de la Unión.
En lo que respecta a ENISA, el Reglamento de Ciberseguridad expande las funciones que en la actualidad tiene atribuidas la agencia y le asigna la tarea fundamental de asegurar un elevado nivel de ciberseguridad común. Para ellos se establece que ENISA prestará asistencia a los organismos tanto de la unión como de los estados miembros, fomentando la cooperación entre estos últimos y promoviendo la sensibilización sobre ciberseguridad y el uso de la certificación europea, para evitar la fragmentación del mercado interior.
El sistema de certificación europeo
En lo relacionado con el sistema de certificación europeo que se pretende crear, el Reglamento prevé el establecimiento de un marco común en la Unión Europea que haga posible que los certificados de ciberseguridad emitidos conforme al esquema de certificación existente en un estado miembro pueda generar, en el resto de los estados miembros, la confianza de ofrecer un determinado nivel de ciberseguridad suficiente y reconocido, de forma que pueda favorecerse el desarrollo de un verdadero mercado único digital para los productos, servicios y procesos relacionados con las tecnologías de la información y la comunicación.
Asimismo, conforme señala el propio Reglamento en su artículo 51, los esquemas europeos de certificación de la ciberseguridad deberán diseñarse para cumplir, al menos los siguientes objetivos de seguridad:
a) proteger los datos almacenados, transmitidos o tratados de otro modo frente al almacenamiento, tratamiento, acceso o revelación accidentales o no autorizados durante todo el ciclo de vida;
b) proteger los datos almacenados, transmitidos o tratados de otro modo frente a la destrucción accidental o no autorizada, la pérdida o la alteración o la falta de disponibilidad;
c) que las personas, programas o máquinas autorizados puedan acceder exclusivamente a los datos, servicios o funciones a que se refiere su derecho de acceso;
d) detectar y documentar las dependencias y vulnerabilidades conocidas;
e) registrar qué datos, servicios o funciones han sido objeto de acceso, de uso o de otro tratamiento, en qué momentos y por quién;
f) que sea posible comprobar qué datos, servicios o funciones han sido objeto de acceso, de uso o de otro tratamiento, en qué momentos y por quién;
g) verificar que los productos, servicios y procesos de TIC no contengan vulnerabilidades conocidas;
h) restaurar la disponibilidad y el acceso a los datos, servicios y funciones de forma rápida en caso de incidente físico o técnico;
i) que los productos, servicios y procesos de TIC sean seguros por defecto y desde el diseño;
j) que los productos, servicios y procesos de TIC se entreguen siempre con un programa informático y un equipo informático actualizados que no contengan vulnerabilidades conocidas públicamente, y dispongan de mecanismos para efectuar actualizaciones de seguridad.
El Reglamento prevé que la certificación de ciberseguridad sea voluntaria, si bien abre la puerta para que, tanto el Derecho de la Unión Europea como el de los estados miembros, pueda establecer la misma como obligatoria en supuestos determinados.
En cualquier caso, resulta evidente que la obtención de la certificación para los productos y servicios TIC ofrecidos, si bien puede presentar un reto burocrático importante para la empresa, posee múltiples ventajas: desde favorecer la confianza de los clientes, tanto en el mercado nacional como en el mercado internacional, hasta la reducción de riesgos y responsabilidades, al haber sometido a los productos y servicios en cuestión a un exhaustivo análisis y a un profundo proceso de evaluación que deben servir para asegurar y acreditar la diligencia a la hora de ofrecer una seguridad adecuada en los productos, servicios y procesos TIC conforme viene siendo exigido de forma cada vez más insistente.
