Estándares europeos en ciberseguridad

Según datos ofrecidos por la Comisión Europea, en 2015 el 80 % de las empresas europeas sufrieron al menos un incidente de ciberseguridad y el 86 % de los ciudadanos cree que el riesgo de la ciberdelincuencia va en aumento. Durante 2016 y 2017 varios factores han hecho que la normalización europea juegue un papel protagonista en este marco. En primer lugar, la Comisión Europea, en su estrategia para el Mercado Único Digital, estableció 16 acciones clave con objeto de maximizar el potencial de crecimiento de la economía digital. Entre ellas es importante la consideración que hace de las normas TIC como piedra angular de un mercado único digital eficaz, al ser la mayor garantía de interoperabilidad de las tecnologías digitales. Asimismo, la CE ha identificado cinco dominios prioritarios: ciberseguridad, 5G, computación en la nube, big data o Internet de las Cosas. En el Plan Progresivo de Normalización de la CE para 2018 también se ha contemplado la ciberseguridad como un ámbito en el que es prioritario contar con normas europeas.

En este sentido, la Unión Europea adoptó la Directiva NIS para la seguridad de redes y sistemas de información. Se trata de la primera pieza para comenzar a legislar en materia de ciberseguridad, puesto que tiene como propósito llevar a un mismo nivel de desarrollo las capacidades de ciberseguridad de todos los Estados miembro y garantizar que el intercambio de información y cooperación resulten eficientes, incluso en el ámbito transfronterizo. En este sentido, el Consejo Europeo solicitó la adopción de un planteamiento común de la ciberseguridad en la UE tras el conjunto de medidas de reforma propuesto por la Comisión Europea en septiembre de 2017 (Cybersecurity Package - http://www.consilium.europa.eu/). Esta reforma pretende basarse en las directrices aplicadas por la Estrategia de Ciberseguridad y la Directiva NIS. Así, la Comisión Europea propuso la introducción de regímenes de certificación en el ámbito de la UE para los productos, servicios y procesos de las TIC. Esta iniciativa busca permitir el crecimiento del mercado de ciberseguridad de la UE y los regímenes de certificación se presentarían en forma de disposiciones, requisitos técnicos y procedimientos. Su objetivo es reducir la fragmentación del mercado y eliminar las barreras reglamentarias, así como aumentar la confianza y ser reconocidos en todos los Estados miembro para facilitar a las empresas el comercio transfronterizo.

Por otra parte, en mayo de 2016 se publicó el Reglamento General de Protección de Datos (RGPD), que es de aplicación obligatoria para todas las empresas de la Unión Europea desde el 25 de mayo de 2018 y otorga un mayor control y seguridad a los ciudadanos sobre su información personal en el mundo 2.0. Con su entrada en vigor se imponen medidas tecnológicas para la privacidad desde el diseño y por defecto. Así, establece qué producto o servicio debe evaluar los riesgos que puede comportar para la privacidad de los datos personales desde el inicio de su diseño y por defecto (Privacy by design & by default). Además, se debe verificar que se han puesto en marcha las medidas necesarias para eliminarlos o mitigarlos. Otro aspecto importante de este reglamento es su atención especial a la implantación de esquemas de certificación y posibilidades para su gestión.

Para todas estas actuaciones expuestas, las normas técnicas internacionales o europeas jugarán un papel muy relevante. Hasta la aparición de este nuevo escenario europeo, el comité ISO/IEC/JTC 1/SC 27 sobre técnicas de seguridad TI ha sido el referente para la producción de estándares internacionales en este ámbito focalizados en mecanismos de seguridad, como la criptografía, sellado de tiempo firma electrónica, o metodologías y criterios de evaluación de la seguridad. Fue en el año 2000 cuando incorporó a su catálogo la primera versión de la actual Norma ISO/IEC 27002, primer documento de lo que se convertiría en la serie de Normas ISO/IEC 27000 para la gestión de la seguridad de la información. Esta serie cuenta con el reconocimiento internacional y tres normas se han adoptado como europeas en 2017: la ISO/IEC 27000, ISO/IEC 27001 y ISO/IEC 27002.

La reestructuración del ISO/IEC/JTC 1/SC 27 ha hecho posible la inclusión de desarrollos de normas técnicas relativas a evidencias electrónicas, privacidad, biometría y gestión de la identidad, campos en cuyo despliegue la seguridad juega un papel clave. Avanzando en la transición del concepto de seguridad de las TI hacia la ciberseguridad, publicó en 2012 la Norma ISO/IEC 27032:2012 Directrices para cyberseguridad, y en febrero de 2018 un informe técnico que recoge una recopilación de las normas existentes en ISO e IEC relacionadas con diferentes aspectos de ciberseguridad: el ISO/IEC TR 27103:2018 Ciberseguridad y estándares ISO e IEC. (Ver gráfico 1).

Con el objetivo de poder atender las demandas surgidas del nuevo marco regulatorio europeo, en 2017 se amplía el panorama de órganos técnicos en aspectos de ciberseguridad en el marco de CEN, CENELEC y ETSI. El objetivo es dar respuesta a varias solicitudes de normalización ya emitidas por la Comisión Europea en apoyo a las políticas públicas, y otras que puedan llegar a corto plazo, a través de la elaboración de normas, informes, o especificaciones. De una forma panorámica, los ámbitos actuales abordados por la normalización en el campo de la seguridad y la confianza de las TIC se pueden ver en la tabla 1. Es importante mencionar la necesaria coordinación que hay que establecer entre estos órganos técnicos y los comités europeos e internacionales que están trabajando en aspectos específicos de seguridad desde el punto de vista de continuidad y resiliencia; o las iniciativas en Industria 4.0, por ser una vez más la ciberseguridad uno de los factores clave que considera. Para ello se han puesto en marcha también órganos con carácter coordinador. El nuevo escenario europeo de normalización en este ámbito constituye el engranaje perfecto con los desarrollos internacionales.

En la estructura de comités técnicos de UNE, prácticamente desde la creación del comité internacional ISO/IEC/JTC 1/SC 27, el CTN 71/SC 27 Técnicas de seguridad es responsable del seguimiento de estos trabajos internacionales y de la emisión del voto nacional a los proyectos en desarrollo. Pero se hace necesario evolucionar el mapa de trabajo; y es el momento de poner en marcha un sólido mecanismo nacional que posibilite el seguimiento, coordinación e influencia en los desarrollos en marcha, tanto en el entorno internacional como en el europeo.

La Comisión y el Parlamento Europeo comunicaron el 13 de septiembre de 2017 el nuevo paquete legislativo de ciberseguridad, actualmente en fase de negociación. Éste prevé que la nueva Agencia Europea de Ciberseguridad, constituida y evolucionada a partir de la ENISA, la actual agencia comunitaria para la seguridad de las redes y los sistemas de información, coordine un nuevo sistema europeo de certificación que garantice que los productos y servicios en el mundo digital sean seguros de utilizar, asegurando la confiabilidad de los millones de dispositivos (Internet de las Cosas) que conectan también las infraestructuras críticas actuales, como la energía y las redes de transporte, o los nuevos dispositivos de consumo, como los vehículos conectados. Los certificados de ciberseguridad se reconocerán forzosamente en los Estados miembro para reducir la carga administrativa y costos para las empresas.

Aunque todavía no están concretados los aspectos y detalles del modelo de gobernanza de esta nueva estructura y de la articulación de las nuevas capacidades y competencias, las autoridades nacionales de los diferentes Estados miembro trabajan por asegurar que el marco de gobernanza de certificaciones respete un mercado caracterizado por la diversidad y fragmentación de la industria de ciberseguridad. En este sentido, es preciso apostar por sistemas flexibles y eficaces que combinen la certificación por terceros, que aporta amplias garantías del cumplimiento de los requisitos exigidos a fabricantes, desarrolladores y distribuidores, junto a otros sistemas más asequibles para las empresas, como la autoevaluación y el modelo de security by design. Asimismo, el hecho de que los esquemas sean voluntarios en diversos segmentos del mercado, facilitarán la adopción de estos esquemas normativos por parte de los fabricantes de productos y servicios.