Nueva ley multará a las empresas que oculten ciberataques
María Lázaro
En los últimos meses hemos vivido importantes casos de ciberataques a empresas a nivel global, afectando a millones de usuarios. Tal ha sido el impacto de estas vulneraciones informáticas que la administración española ha decidido tomar medidas. Concretamente, se encuentra preparando el borrador de un nuevo Real Decreto de Ley, por el cual multará a empresas que oculten posibles ataques informáticos o no tomen medidas necesarias para remediarlos.
Si bien es cierto que los últimos hackeos no han afectado considerablemente a nuestro país - salvo con el virus del WannaCry donde Telefónica fue la gran perjudicada-, si pusieron sobre la mesa la necesidad de contar con un instrumento legal que permita a la Administración ofrecer unas ciertas garantías sobre los sistemas de seguridad con que cuentan las empresas españolas. Con este objetivo, desde el Gobierno apuestan por realizar una labor de prevención y de alerta a las empresas ante piratas informáticos. En caso de no hacerlo, serán sancionadas por primera vez.
Concretamente en el borrador de decreto ley que se está ultimando se recoge que las empresas operadoras de servicios esenciales (electricidad, transpoprte) y las proveedoras de servicios digitales que no notifiquen los ciberataques significativos que reciban o no adopten medidas para evitarlos podrán ser castigadas con "sanciones efetivas, proporcionadas y disuasorias".
Este real decreto de ley permite a la Administración supervisar la seguridad de los sistemas informáticos de las compañías españolas, imponerles la adopción de medidas preventivas e incluso sancionarlas si no las aplican o no notifican los cibertaques sufridos.
Esta medida está siendo posible gracias al esfuerzo conjunto que están haciendo el Departamento de Seguridad Nacional, el Ministerio del Interior, el CNI y la Secretaria de Estado de Sociedad de la Información y la Agenda Digital - que coordina el trabajo. Buscan actualizarse a la normativa europea, concretamente a la Directiva 016/1148 de Seguridad de las Redes y Sistemas de Información de la UE, que debería estar incorporada en la legislación de los estados miembros antes de mayo de 2018.
La Directiva NISobliga a realizar un listado de los operadores de servicios esenciales y de los principales proveedores de servicios digitales, tanto privados como públicos, y a comunicarlos a la Comisión Europea. Los sectores implicados serían el de la energía (electricidad, crudo y gas), transporte (aéreo, marítimo, ferrocarril y carretera), financiero (banca y mercados), sanitario, agua potable e infraestructura digital - que son los objetivos potenciales de futuros ataques
Esta normativa permitirá a la Administración:
- Realizar auditorías para supervisar su nivel de seguridad;
- Establecer "instrucciones vinculantes" que les ayuden a mejorar la protección de sus sistemas informáticos;
- Informar "sin dilación" de cualquier incidente que ponga en peligro el servicio prestado.
En cuanto a las sanciones que tendrán las empresas que no cumplan estas medidas, se espera que vayan en consonancia con la gravedad de los ataques informáticos teniendo en cuenta la cantidad de usuarios afectados, la extensión geográfica o sus consecuencias.
[Fuente: El País]
Conoce cómo trabajamos en Computerhoy.