Video: Ley de ciberseguridad de la UE propuesta confirmaría las reglas de notificación de incumplimiento

Las nuevas reglas sobre ciberseguridad en la Unión Europea se presentaron el jueves después de semanas de especulaciones y borradores.

La parte principal de la Estrategia de Seguridad Cibernética de la Comisión Europea es una propuesta de Directiva sobre Redes y Seguridad de información. Si el Parlamento Europeo y los Estados miembros lo aprueban, se convertiría en E.U. ley.

Los esfuerzos voluntarios anteriores se han quedado cortos, "dejando muchas lagunas en nuestra ciberseguridad general" según un documento de la Comisión. Actualmente, solo las compañías de telecomunicaciones están obligadas a informar incidentes de seguridad importantes. La nueva directiva extendería eso a las principales empresas de Internet, como grandes proveedores de servicios en la nube, redes sociales, plataformas de comercio electrónico y motores de búsqueda, el sector bancario y los servicios de infraestructura crítica, incluidos la energía, el transporte y la salud, así como las administraciones públicas. Se requeriría que los "habilitadores de los servicios de la sociedad de la información" informen sobre cualquier incumplimiento de seguridad que "afecte significativamente la continuidad de los servicios críticos y el suministro de bienes" a una autoridad nacional. Esta autoridad "puede requerir que el público esté informado", pero un anuncio público no será obligatorio.

[Más información: cómo eliminar el malware de su PC con Windows]

Un reglamento de protección de datos que está siendo examinado actualmente por la Unión Europea El Parlamento solo cubre incidentes de seguridad donde los datos personales están en peligro. Por lo tanto, no es necesario informar de los ataques cibernéticos que no tienen como objetivo los datos. La nueva directiva cambiaría eso.

Las empresas como PayPal, Google, Amazon, eBay y Skype deberían notificar a las autoridades cualquier ataque cibernético importante, así como otros incidentes que tengan un impacto significativo en los servicios, como desastres naturales, extremos clima y casos de error humano.

La comisionada de la Agenda Digital, Neelie Kroes, criticó a los gerentes de empresas que niegan que haya ciberataques porque están preocupados por la reputación de sus compañías. Los ataques cibernéticos son una ocurrencia común, con estadísticas que muestran que el 93 por ciento de las grandes corporaciones experimentaron un ataque cibernético el año pasado, señaló.

"Al final, la apertura y transparencia sobre su experiencia va a generar un mejor entorno para todos ", dijo.

Los estados miembros determinarán cómo escriben la directiva en la legislación nacional, por lo que las sanciones por no informar un incidente variarán según el país.

Como parte de la directiva propuesta, se exigirá a los estados miembros designar una agencia de contacto que es responsable de compartir información sobre ciberamenazas con otros países, así como con la Agencia Europea de Seguridad de Redes e Información.

Richard Archdeacon, jefe de estrategia de seguridad de Hewlett Packard, dijo que la directiva propuesta ayudaría a construir confianza entre los consumidores. "Se espera que la computación en nube por sí sola impulse la economía europea en 1 billón para 2020, pero la falta de confianza en la seguridad de Internet debido a la alarmante cantidad de ataques costosos está bloqueando la adopción generalizada", dijo en un comunicado.

Las estadísticas europeas de 2012 muestran que los usuarios de Internet tienen un 18 por ciento menos de probabilidades de comprar y un 15 por ciento menos de banca en línea por temor a la seguridad.

Además, casi tres cuartos de los 160 encuestados en una consulta en línea dijeron que el requisito informar incidentes cibernéticos no conllevaría ningún costo adicional, y más de dos tercios dijeron que la implementación de un sistema de gestión de riesgos de vanguardia no generaría un aumento en los costos.

La Asociación Europea de Operadores de Redes de Telecomunicaciones aprobó sin reservas el plan, mientras La empresa china de telecomunicaciones Huawei hizo hincapié en la importancia de trabajar en todo el mundo para hacer frente a los ataques cibernéticos.

Sin embargo, "la propuesta en su forma actual no logrará su objetivo declarado", advirtió Liam Benham, vicepresidente de programas gubernamentales de IBM Europa. "El desafío para las empresas será encontrar el nivel de seguridad adecuado al riesgo presentado. A este respecto, la propuesta es un tanto vaga en esta etapa ", coincidieron Jörg Hladjk, abogado asociado de Hunton & Williams.

El Parlamento Europeo ahora tendrá que aprobar la directiva, por lo que es probable que haya más cambios en el texto.. Una vez ley, E.U. los estados miembros tienen 18 meses para escribirlo en su legislación nacional.