Facultad de Derecho

13 de septiembre de 2016

Ciberseguridad: Directiva de la UE

El Parlamento Europeo y el Consejo de la Unión Europea han adoptado la Directiva 2016/1148, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión. El documento adoptado el 6 de julio de 2016, ya se encuentra vigente; medidas transitorias serán implementadas hasta noviembre de 2018.

El Parlamento Europeo y el Consejo de la Unión Europea han adoptado la Directiva 2016/1148, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión. El documento adoptado el 6 de julio de 2016, ya se encuentra vigente.

El mejoramiento de la función del mercado interior de la UE es el objetivo central de la Directiva. Para ello establece medidas que logren un elevado nivel común de seguridad de las redes y sistemas de información. Esto es, en términos de la Directiva, “la capacidad de las redes y sistemas de información de resistir, con un nivel determinado de fiabilidad, toda acción que comprometa la disponibilidad, autenticidad, integridad o confidencialidad de los datos almacenados, transmitidos o tratados, o los servicios correspondientes ofrecidos por tales redes y sistemas de información o accesibles a través de ellos (Directiva 2016/1148, art. 4(2)).

En ésta línea establece tres escenarios de acción. Por una parte, establece la obligación para los Estados miembro de adoptar una estrategia nacional de seguridad de redes y sistemas de información, incluido un régimen de sanciones frente al incumplimiento de las disposiciones nacionales adoptadas bajo el amparo de la Directiva. En segundo lugar, establece requisitos en materia de seguridad y notificación para los operadores de servicios esenciales y para los proveedores de servicios digitales y la obligación a cargo de los Estados miembros de velar por su cumplimiento. Por último, establece escenarios de cooperación; entre ellos, un Grupo de cooperación entre Estados miembro, y una Red de equipos de respuesta a incidentes de seguridad informática.

Para los propósitos de análisis en términos del presente BLOG, llama la atención las categorías de actores de la sociedad de la información incorporadas por la Directiva sobre ciberseguridad: “los operadores de servicios esenciales” y “los proveedores de servicios digitales”. Veamos entonces.

Los operadores de servicios esenciales son entidades públicas o privadas que prestan un servicio esencial para el mantenimiento de actividades sociales o económicas cruciales, cuandoquiera que la prestación de dicho servicio depende de las redes y sistemas de información, y un incidente tendrá efectos perturbadores significativos en la prestación de dicho servicio (Directiva 2016/1148, art 5(2)). El efecto perturbador de un incidente será evaluado por los Estados conforme el número de usuarios afectados, la dependencia de otros sectores sobre el servicio prestado por la entidad, la repercusión en grado y duración en actividades económicas o de seguridad pública, su extensión geográfica, y la importancia de la entidad para mantener un nivel suficiente del servicio (Directiva 2016/148, art 6).

Por su parte, los proveedores de servicios digitales son personas jurídicas que prestan servicios a distancia, por vía electrónica y a petición individual de un destinatario de servicios (servicios de la sociedad de la información). El ámbito de aplicación de la Directiva sobre ciberseguridad estará limitado a los siguientes servicios: mercado en línea, motores de búsqueda en línea y servicios de computación en la nube (Directiva 2016/1148, art 4(5)(6)). La definición reenvía a la definición de “servicio” incorporado en la Directiva 2015/1535. Esto es, un servicio prestado normalmente a cambio de una remuneración, sin que las partes estén presentes simultáneamente (a distancia); enviado desde la fuente y recibido por el destinatario mediante equipos electrónicos de tratamiento y almacenamiento de datos y que se transmite, canaliza y recibe enteramente por hilos, radio, medios ópticos o cualquier otro medio electromagnético (por vía electrónica); y prestado mediante la transmisión de datos a petición individual (a petición individual de un destinatario de servicios).

Los proveedores de servicios digitales se considerarán sometidos a la jurisdicción del Estado miembro en que se encuentre su establecimiento principal, adoptando el criterio de domicilio social. Para aquellos proveedores de servicios digitales no establecidos en la Unión, que ofrezcan servicios de mercado en línea, de motores de búsqueda en línea y de computación en la nube, tienen la obligación de designar un representante para la Unión Europea en uno de los Estados miembro en los que ofrezca los servicios.

Coincide para ambos actores de la sociedad de la información, las siguientes obligaciones señaladas por la Directiva sobre ciberseguridad:

  • Adoptar medidas técnicas y de organización adecuadas y proporcionales para gestionar los riesgos que se planteen en las redes y sistemas de operación que utilizan en sus operaciones (Directiva 2016/1148, art 14(1); art 16(1)).
  • Tomar medidas adecuadas para prevenir y reducir al mínimo el efecto o impacto de los incidentes que afectan la seguridad de sus redes y sistemas de información utilizados a efectos de garantizar la continuidad de los servicios (Directiva 2016/1148, art. 14(2), art 16(2)).
  • Notificar (sin dilación) a la autoridad competente o a la Red de equipos de respuesta a incidentes de seguridad informática cualquier incidente que tenga impacto significativo en los servicios esenciales o digitales que prestan en la UE (Directiva 2016/1148 , art 14(3), art. 16(3)).

Si bien se encuentra vigente la Directiva, está previsto que hasta febrero de 2017 se implementarán medidas transitorias que permitirán su efectiva aplicación. En todo caso, la identificación de los proveedores de servicios esenciales se realizará en el periodo comprendido hasta el 9 de noviembre de 2018.

 

Enlace de interés:

Artículos Recientes