A finales del pasado mes de septiembre, se hizo publico el proyecto de Ley General de Telecomunicaciones cuyo texto íntegro puede ser consultado aquí.
Nos ha parecido interesante analizar brevemente las disposiciones del proyecto relacionadas con la ciberseguridad, en particular, nos centraremos en los artículos 44 y 77 y en la disposición final segunda.
Artículos 44. Integridad y seguridad de las redes y los servicios de comunicaciones electrónicas y 77. Infracciones graves
En este artículo se recogen las obligaciones que los operadores tienen en relación a esta materia, de forma resumida:
- Gestionar adecuadamente los riesgos que puedan afectar a sus redes y servicios a fin de (i) garantizar un adecuado nivel de seguridad y (ii) reducir al mínimo el impacto de los incidentes en los usuarios y las redes.
- Garantizar la integridad de las comunicaciones.
- Notificar al Ministerio «las violaciones de seguridad o pérdidas de integridad que hayan tenido un impacto significativo en la explotación de las redes o los servicios».
A partir de ahí, el Ministerio decidirá si informa (o pide al operador que lo haga) a ENISA, al público y/o a la Secretaría de Estado de Seguridad – Ministerio del Interior de dichos incidentes, dependiendo del carácter y alcance de los mismos. - Adoptar los mecanismos de supervisión que decida el Ministerio: aportación de información o realización de una «auditoría de seguridad realizada por un organismo independiente por una autoridad competente».
Hay que ser conscientes de que el incumplimiento de las obligaciones de integridad y seguridad se considera una infracción grave (que conlleva una multa de hasta 2 millones de euros).
Respecto a estas obligaciones nos surgen algunas reflexiones:
- ¿Qué es gestionar adecuadamente los riesgos o garantizar un nivel adecuado de seguridad? Es decir, ¿qué criterios se van a seguir para valorar que la gestión realizada por el operador es adecuada o no? Entendemos que se podrá requerir que utilicen metodologías de gestión de riesgos conforme a mejores prácticas, pero otra cosa es valorar el nivel de seguridad. ¿Cómo se va a medir el nivel de seguridad? ¿Qué métricas se van a utilizar? ¿Se van a establecer criterios comunes para todos los operadores?
- Respecto a la notificación de incidentes, la reflexión es muy similar: ¿qué se entiende por un impacto significativo? ¿Quién lo decide? ¿Los criterios estarán definidos por el Ministerio?
- Finalmente, respecto a la supervisión, vemos que existe una oportunidad para el sector privado que puede realizar dichas auditorías de seguridad independiente. Pero, al igual que ocurre con la LOPD, ¿se va a regular la función de auditoría o cualquiera podrá actuar como auditor? ¿Qué criterios se van a pedir para dichas auditorías? Si no se abordan estos asuntos, no tiene sentido solicitar auditorías, puesto que solo tienen sentido si realizan conforme a estándares elevados de independencia y responsabilidad.
Disposición final segunda. Modificación de la Ley 34/2002 – LSSI
Como ocurre en múltiples ocasiones, se aprovecha una Ley para modificar otras, en este caso la LSSI. En relación a las modificaciones propuestas, nos parece relevante destacar las siguientes:
- Se habilita a la autoridad de asignación (de dominios) para suspender cautelarmente o cancelar los nombres de dominio que estén siendo utilizados para cometer un delito o falta del Código Penal por un requerimiento judicial o cautelar de las Fuerzas y Cuerpos de Seguridad (siempre que el responsable o el ISP no hubiera atendido a la solicitud previa y que no se trate de una asunto competencia exclusiva de los órganos jurisdiccionales).
- Se introduce una disposición adicional sobre la gestión de incidentes de ciberseguridad de forma que los registros de nombres de dominio y agentes registradores presten su colaboración con el CERT competente. Dentro de esta colaboración se incluye el que «los prestadores de servicios de la Sociedad de la Información, respetando el secreto de las comunicaciones, suministrarán la información necesaria al CERT competente, y a las autoridades competentes, para la adecuada gestión de los incidentes de ciberseguridad, incluyendo las direcciones IP que puedan hallarse comprometidas«.
Para poner en marcha esta colaboración, se da al Gobierno un plazo de 6 meses para impulsar un esquema de colaboración público-privada que ayude a identificar y mitigar los ataques e incidentes en Internet, mediante códigos de conducta. - Dichos códigos de conducta habilitarán a los ISPs para identificar a los usuarios afectados por incidentes, indicarles lo que deben hacer y el plazo que tienen para hacerlo, antes de ser aislados de la red.
Lógicamente estos cambios en la LSSI suponen una modificación sustancial de los mecanismos actuales y, que duda cabe, que pueden surgir dudas sobre su utilización puesto que abren una puerta al abuso. No obstante, dicho esto, antes de desconfiar, hemos de dar un voto de confianza y pensar en que son necesarios mecanismos ágiles de respuesta a incidentes (#seguridadagil) para responder a los continuos ataques que sufrimos los usuarios en la red, en particular a los redes de bots.
Puedes seguirnos en twitter.com/enplusone