La Unión Europea (UE) ultima la aprobación de la Directiva del Parlamento Europeo (PE) y la Comisión relativa a medidas para garantizar un elevado nivel común de seguridad de las redes y de la información en la Unión (con referencia 2013/0027/COD). Una norma que pretende garantizar una política coordinada contra los ataques o incidentes que se producen a través de las redes, y que impondrá a los Estados la creación de una autoridad independiente y la aprobación de un plan de lucha y respuesta contra los ciberataques.
La propuesta, considerada "el principal instrumento" de la Estrategia Europea de Ciberseguridad, ha superado ya la fase de primera lectura tanto en el PE como en la Comisión Europea (CE). Si la Eurocámara y el Consejo dan su visto bueno a la norma, sin introducir nuevas enmiendas, se considerará aprobada. En cualquier caso, la CE la ha etiquetado como una de las propuestas legislativas prioritarias para 2016.
El objetivo de la Directiva es el establecimiento de un conjunto de medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y de la información (SRI) en la Unión. El texto, por un lado, contiene medidas destinadas a mejorar la respuesta de los Estados ante un ciberataque; y, por otro, impone a las administraciones públicas y a las empresas del sector de las comunicaciones el deber de colaborar ante posibles riesgos e incidentes.
Así, tras la entrada en vigor de la norma, los Estados deberán aprobar una Estrategia Nacional de SRI: un plan que contendrá los objetivos y medidas estratégicas de esta política, fijando las instituciones y agentes responsables de las mismas, así como las disposiciones normativas para alcanzar dichas metas.
Junto con este plan, los Estados miembros deberán diseñar un Plan de Cooperación Nacional que incluirá una evaluación de riesgos y la determinación de procedimientos de cooperación y comunicación, que garanticen la prevención, detección, respuesta y reparación tras un ataque.
Una autoridad competente
Los Estados miembros, asimismo, deben designar una autoridad nacional competente en esta materia que, según la norma, deberá vigilar la aplicación de la Directiva y recibir la notificación de los incidentes que sufran las administraciones públicas y los operadores del mercado. Además, los Estados deben velar porque este organismo tenga las competencias necesarias para investigar los casos de incumplimiento de las normas dictadas para garantizar la SRI.
La autoridad competente, que tendrá la facultad de impartir instrucciones vinculantes, recibirá la notificación de los incidentes que sufran administraciones y operadores del mercado. Este organismo, además, deberá colaborar "estrechamente" con las fuerzas de seguridad, especialmente en el caso de actuaciones delictivas.
Red de cooperación
La Comisión, junto con las autoridades competentes, creará una red de cooperación a través de la cual se desarrollará la colaboración en caso de incidentes que afecten a la SRI, comunicando las alertas tempranas y ofreciendo una respuesta coordinada.
Por último, la Directiva impone a los Estados el deber de velar porque administraciones y operadores adopten las medidas adecuadas para la gestión de los riesgos de seguridad en la red y los sistemas de información que controlan y utilizan. Asimismo, éstos deberán notificar a la autoridad competente cuando sufran ataques o incidentes.