redseguridad 073

editorial

Ciberimpulso europeo

S i todo marcha según lo esperado , en agosto entrará en vigor la directiva europea de ciberse- guridad, conocida como Directiva NIS. Se trata de la primera normativa de la UE que obligará a las empresas a mejorar su capacidad de resisten- cia contra los ataques cibernéticos, en espe- cial a los operadores de infraestructuras críticas y a los proveedores de servicios digitales, como motores de búsqueda, servicios de computación en la nube, puntos de venta online o plataformas de comercio electrónico. Las compañías, a partir de entonces, tendrán la obligación de comunicar a las autoridades los incidentes de seguridad graves que se produzcan en sus sistemas en un plazo de 72 horas.

las organizaciones, en especial entre los operado- res de infraestructuras críticas. Además, refuerza el mensaje sobre la necesidad de contar con enfoques integrales dentro de las compañías, una realidad ya necesaria, pero que no se ter- mina de materializar. Esto implica la existencia de un departamento común que se encargue indistintamente de promover medidas de protec- ción físicas y lógicas. Es crucial, por tanto, que las empresas olviden el tipo y la procedencia de las amenazas y contemplen todas ellas bajo un mismo prisma. Esto es algo imprescindible para las grandes organizaciones, especialmente las que trabajan suministrando servicios esenciales para la sociedad, y necesario también para las pequeñas y medianas empresas. No hay que olvidar que son el grueso del tejido productivo español y que también deben tomar medidas de protección integral. Esta Directiva supone un avance en la legisla- ción europea, al igual que sucede con el reciente- mente aprobado Reglamento general de protec- ción de datos de la UE. En él se especifican las obligaciones de las compañías en este sentido, entre las que se cuentan la de aplicar las medi- das de seguridad adecuadas según el riesgo derivado de las operaciones de tratamiento de datos que realicen. Además, deberán nombrar un delegado de protección de datos (DPO) y en ciertos casos notificar a las autoridades las viola- ciones de datos personales. Ahora bien, lo que más puede preocupar a las organizaciones es el sistema sancionador que establece, el cual reco- ge multas de hasta 20 millones de euros o el 4 por ciento del volumen de negocios total anual, lo que puede poner en serio riesgo la continuidad del negocio de muchas organizaciones. De todo ello, precisamente, damos cuenta en este número con un amplio análisis por parte de varios exper- tos en la materia sobre las consecuencias que este Reglamento de protección de datos tendrá para las empresas españolas, así como una entrevista con Thomas Zerdick, subdirector del área de protección de datos de la Dirección General de Justicia de la Comisión Europea, que ha participado en el proyecto.

La Directiva NIS reforzará la idea de seguridad integral en los operadores críticos

Además, establece una serie de obligaciones para los Estados miembros relacionadas con lo anterior. Cada uno de ellos deberá identificar a los operadores que ofrecen servicios críticos, y poner en marcha una estrategia para hacer frente a las amenazas de ciberataques. Esto pasa por la creación de una red de equipos nacionales de respuesta a incidentes de seguridad informáti- cos para promover la cooperación operativa. A su vez, la normativa prevé la constitución de un grupo de coordinación europeo para promover el intercambio de mejores prácticas entre países. Sin duda, éstas son medidas acertadas que vienen a impulsar la puesta en marcha de una ade- cuada estrategia de ciberseguridad por parte de

segundo trimestre 2016 red seguridad 3

Made with