La norma evita que las grandes compañías tengan que informar de los incumplimientos, y se aplica únicamente a las compañías que poseen, operan o suministran tecnología para instalaciones críticas de infraestructura.
La Unión Europea ha aprobado el jueves una nueva ley de ciberseguridad, pero se contuvo de requerir que los gigantes de Internet como Google, Amazon, eBay y Skype, tuvieran que informar de los incidentes de seguridad. Los miembros del Parlamento Europeo votaron por una gran mayoría la aprobación de la Directiva de Seguridad de la Información y de las Redes (NIS).
Bajo las propuestas originales, los llamados “facilitadores de los servicios de la sociedad de la información” habrían sido requeridos para informar de cualquier incumplimiento de seguridad que “afecte significativamente la continuidad de servicios críticos y el suministro de bienes” a una autoridad nacional, tanto si se hubieran comprometido los datos como si no.
Pero la ley tal como ha sido aprobada por el Parlamento se aplica sólo a las compañías que poseen, operan o suministran tecnología para instalaciones de infraestructura críticas. Las organizaciones empresariales han dado rápidamente la bienvenida a la ley. “Felicitamos al Parlamento Europeo por focalizar sabiamente la directiva en los elementos de infraestructura crítica. Esta directiva tendrá éxito si está basada en definiciones claras y preparadas para el futuro, con un enfoque proporcional, basado en el riesgo, que permita al sector privado continuar innovando”, ha afirmado Thomas Boué, de BSA.
Pero Amelia Andersdotter, del Partido Pirata y miembro del Parlamento Europeo, ha dicho que ella había sido uno de la minoría que votó en contra de la ley porque “hace todas las cosas erróneas y ninguna de las correctas”.
“Este voto hoy es una noticia muy positiva para los ciudadanos europeos. Los estados miembro necesitan estar preparados para los ciberataques. Hoy hay lagunas en algunos países y necesitamos solucionarlo. Sólo somos tan fuertes como el eslabón más débil” ha afirmado la Comisaria de Agenda Digital Neelie Kroes, que sacó adelante las propuestas.
Dependerá de los estados miembro como transcriben la directiva en las leyes nacionales, así que las sanciones por no reportan un incidente pueden variar de país a país. No obstante el artículo 15 estipula que los estados miembro deben investigar todos los casos de incumplimiento. Kroes afirma que desea alcanzar un acuerdo con los estados miembro de la UE para el final de 2014.
Según la Comisión, el 93 por ciento de las grandes compañías han experimentado ataques cibernéticos en 2012. Aun así tres cuartas partes de los 160 encuestados en una consulta de la Comisión afirmaron que el requerimiento de informar de los incidentes de seguridad no significarían costes adicionales, y más de las dos terceras partes afirmaron que la implantación de un sistema de gestión de riesgos como el demandado por la directiva NIS no resultaría tampoco en costes adicionales.
Jennifer Baker, IDG News Service