Blog

Regular y legislar en materia de ciberseguridad, un desafío clave para la UE

A mediados del pasado mes de marzo, el Tribunal de Cuentas Europeo (TCE) presentó un documento informativo en el que señaló varios aspectos en los que la UE debe mejorar en los próximos años en materia de ciberseguridad. Los desafíos en este ámbito son cada vez más importantes y, de no ser atendidos, pueden poner en jaque tanto a ciudadanía como a entidades privadas e instituciones públicas.

En lo que se refiere a las modificaciones necesarias al marco político y legislativo, el Tribunal de Cuentas identifica varias deficiencias que habrán de subsanarse en los próximos años.

Objetivos más claros y métricas mensurables

En primer lugar, la UE deberá trabajar para establecer las condiciones que hagan posible una evaluación de la ciberseguridad verdaderamente significativa, ya que la estrategia comunitaria definida en 2013 formuló unos objetivos demasiado generales cuyo cumplimiento no está sujeto a métricas concretas. A partir de ahora, la estrategia continental, por lo menos en lo que se refiere a la ciberdefensa, habrá de concretar unas metas claras y mensurables, sentando una base de mínimos a cumplir por todos los Estados integrados en la UE.

La reciente aprobación de las medidas destinadas a paliar los efectos de la ciberdelincuencia, los ciberataques y/o a reducir su incidencia es positiva, pero aún no existen criterios significativos en los que basar una evaluación reglada de su impacto. A esta carencia se suma que la ENISA, (Agencia Europea para la Seguridad de la Información y las Redes) aún carece de competencias para evaluar y realizar un seguimiento del estado de la ciberseguridad y de su preparación.

Definir estándares comunes para conocer el nivel de ciberseguridad

Para establecer un sistema de supervisión, común y obligatorio, que permita identificar el estado de la ciberseguridad en los países de la UE es necesario definir previamente qué datos se recabarán para disponer de estadísticas fiables, a partir de las que adoptar medidas que corrijan las posibles debilidades. Definir esos indicadores no será tarea fácil, aunque ya se han dado algunos pasos adelante para determinar la forma de actuar frente a la delincuencia grave y organizada.

Según el informe del TCE, actualmente los estados no recopilan con suficiente regularidad datos acerca de cómo están sus sistemas. Además, en la UE aún existen pocos análisis que abarquen cuestiones tales como la resiliencia, el nivel de ciberseguridad, la economía de la ciberseguridad o la comprensión exacta del impacto de los ataques cibernéticos.

Evaluación de logros, nueva legislación, y reglamento común

La ausencia de indicadores definidos, datos fiables y objetivos específicos mensurables ha hecho que hasta el momento sea difícil conocer con exactitud el alcance de la estrategia europea en ciberseguridad. Los informes disponibles hasta el momento describen importantes avances cualitativos sin aportar cifras concretas. Además, hasta el momento cada país a supervisado la implantación de la estrategia común siguiendo criterios propios. A esto se suma que aún no se han definido valores de referencia para evaluar, por ejemplo, la resiliencia de los sistemas.

Pese a todo, los países han auditado los resultados cosechados a partir de la implantación de la estrategia en2013, evaluando aspectos como la gobernanza de la información, la protección de infraestructuras críticas, el intercambio de información y coordinación entre partes interesadas clave, y la preparación, notificación y respuesta con respecto a los incidentes.

El documento destaca que, en lo que se refiere al marco jurídico y político, los procedimientos establecidos por la UE para garantizar la ciberseguridad en el viejo continente no se concibieron para el actual estado de desarrollo de la era digital. Por eso es necesario seguir trabajando en la implantación de un nuevo marco capaz de regular con claridad aspectos tan importantes como el internet de las cosas o el equilibrio de responsabilidades entre los usuarios y los proveedores de productos digitales.

Por el momento, existe una propuesta de Reglamento de Ciberseguridad que aspira a resolver las carencias expuestas por medio de un programa de certificación para toda la UE mediante el que se fomenta la seguridad desde el diseño.