Ciberseguridad: qué papel juega la Unión Europea

Artículo publicado el 18 de Diciembre de 2014
Artículo publicado el 18 de Diciembre de 2014

Atención, este artículo no ha sido revisado ni publicado en ningún grupo

A la hora de abordar el tema de la protección y la criminalidad en el ciberespacio y en el espacio físico, los razonamientos utilizados son los mismos. Sin embargo, el primero presenta todavía lagunas jurídicas. ¿Cómo legislar sobre ciberseguridad? ¿Quién tiene que hacerlo? Los gobiernos juegan un papel crucial, pero es la Unión Europea la que tiene que dar el primer paso.

El 7 de febrero de 2013, la Comisión Europea publicó una estrategia europea de ciberseguridad para proteger un internet libre y abierto, y para incrementar el número de oportunidades económicas y sociales que se derivan de ello. En esta estrategia, la Comisión parte del principio de que las normas y valores defendidos fuera de línea [libertad y democracia] tienen que aplicarse también en línea. En otras palabras, la libertad de expresión, la protección de la vida privada y de las informaciones personales, así como un acceso libre al ciberespacio tienen que estar garantizados. Más aún, lo que la Unión Europea destaca es la responsabilidad compartida entre los gobiernos, el sector privado y los ciudadanos para garantizar esos derechos. La Unión Europea formaliza en esta estrategia el compromiso del sector privado a participar en la legislación y ya no se contenta con dialogar únicamente con los representantes políticos de los Estados miembros.

¿Qué propone la Unión Europea?

En la propuesta de Directiva relativa a la seguridad de las redes y de la información, publicada unos días después de la estrategia europea (la NIS Directive), la Comisión propone que los Estados miembros desarrollen estrategias nacionales, que designen una autoridad competente en materia de ciberseguridad y que creen Equipos de Respuesta ante Emergencias Informáticas (CERTs, del inglés Computer Emergency Response Teams). Estos CERTs constituyen un aspecto principal de la lucha por la ciberseguridad, puesto que son los actores clave de la prevención, detección y resolución de riesgos e incidentes digitales. Las estrategias nacionales, por su parte, pretenden alentar a los actores privados para garantizar un estado de ciberseguridad así como para dar a conocer sistemáticamente los incidentes  que hayan tenido lugar en las redes.

A nivel europeo, la Directiva prevé que las autoridades nacionales estén en permanente contacto con la Agencia Europea de Seguridad de las Redes y de la Información, ENISA, para que la experiencia y la información se comparta entre todos los Estados. Esta cooperación entre las autoridades nacionales y europeas permitirá, sobre todo, difundir alertas tempranas en caso de ciberamenaza. Todas esas instrucciones o modos de actuación se están debatiendo con interés en el seno de los Estados miembros.

¿Qué resistencias existen?

El sector privado y los Estados miembros exigen ciertas aclaraciones. Respecto a la cuestión de compartir la información en la red europea, ¿se trata realmente de una interacción entre los distintos actores que permitirá a las empresas y a los Estados miembros recibir también información, o se trata de un uso compartido unilateral? Por otro lado, el hecho de hacer una relación sistemática de los incidentes que se produzcan en cada Estado miembro ¿es voluntaria o, por el contrario, es obligatoria? ¿Y quién pagará los gastos que generen  todas esas legislaciones?

La proposición de Directiva sobre ciberseguridad está siendo todavía objeto de debate a día de hoy. Ha seguido el camino legislativo europeo clásico y se ha votado en marzo de 2014 en el Parlamento Europeo, pero las negociaciones permanecen bloqueadas en el Consejo. Sin embargo, aunque los Estados miembros parecen reticentes, es muy probable que la ciberseguridad resulte ser un área importante de integración europea.

De hecho, el sector de la defensa, por ejemplo, se considera todavía como un terreno reservado a los Estados miembros, en el que sus intereses están anclados en su historia y en sus acontecimientos políticos. La ciberseguridad, en cambio, es un espacio nuevo en el que todo está por hacer. Los debates que actualmente animan los ministros europeos y sus representantes diplomáticos no surgen tanto de un sentido nacional como de un miedo a delegar demasiadas responsabilidades en la Unión Europea, así como de la protección de los intereses económicos de las empresas. Estas son las negociaciones que perduran, puesto que tienen que sentar las bases de una nueva organización dentro de Europa, impulsada por la UE y difundida en los Estados miembros; son las negociaciones que no buscan coordinar las políticas nacionales existentes, sino definir una línea común de la que derivarán las políticas nacionales.  

Este artículo es el sexto de una serie dedicada a la ciberseguridad:

1. Ciberseguridad: ¿informática o política? 

2. Ciberseguridad: qué papel juegan los gobiernos 

3. Ciberseguridad: qué papel juegan los criminales

4. Ciberseguridad: qué papel juegan los usuarios

5. Ciberseguridad: qué papel juegan las empresas