ENISA identifica lagunas en la implementación de las leyes de ciberseguridad
Un informe de la agencia de seguridad cibernética europea ENISA repasa las diferentes normativas de ciberseguridad vigentes a día de hoy, poniendo de manifiesto diversas lagunas en su aplicación y en la denuncia de incidentes.
El Informe “Cyber Incident Reporting in the EU” de la ENISA analiza la legislación de ciberseguridad existente y prevista, como las cláusulas de notificación obligatoria de incidentes recogidas en el artículo 13 a del paquete Telecom, el artículo 4 de la Directiva sobre privacidad electrónica, el artículo 15 sobre la propuesta de regulación de la identificación electrónica, y los artículos 30, 31, 32 de la reforma de Protección de Datos, con el objetivo de los factores comunes y las diferencias entre los artículos que, con frecuencia, derivan en lagunas en la aplicación de las legislaciones vigentes.
La agencia nombra diversos incidentes de ciberseguridad graves, y menciona que solo uno de ellos estaba dentro del alcance del mandato de los reguladores nacionales. Dichos reguladores enviaron recientemente a ENISA informes de 51 grandes incidentes, en los que se recoge su impacto, causas, medidas adoptadas y lecciones aprendidas; un material que se aprovecha como recurso para la estrategia europea de Ciberseguridad.
Con todo, no siempre los incidentes se comunican ateniéndose a las leyes vigentes, según Marnix Dekker y Karsberg Chris, co-autores del informe, “los incidentes cibernéticos son los más comúnmente mantenidos en secreto cuando se descubren, dejando a los clientes y a los responsables políticos en la oscuridad acerca de la frecuencia, el impacto y las raíces del problema.” Y sin embargo, “el reporte de 
incidentes es esencial para obtener una imagen real de seguridad cibernética. La estrategia de seguridad cibernética de la UE es un paso importante y uno de sus objetivos es ampliar el alcance de la declaración de provisiones, como el artículo 13 a, más allá del sector de las telecomunicaciones”, apostilla Udo Helmbrecht, director ejecutivo de ENISA.
Los trabajos de la ENISA por mejorar la comunicación de incidentes pasa por la creación de un grupo de trabajo con reguladores nacionales que ha desarrollado tanto un conjunto común de medidas de seguridad así como un formato de reporte de incidentes. Esto permitirá una aplicación más uniforme del artículo 13a.
