Hoy por hoy, en materia de ciberseguridad, especialmente mirada desde la óptica de sector privado y especialmente el público, la protección de la denominada «infraestructura crítica», es parte esencial cuando se evalúan riesgos y medidas de protección de la información y continuidad de servicios.
Y mientras en nuestro país es un tema que recientemente se está comenzando a discutir (con un proyecto de ley marco de ciberseguridad e infraestructura crítica enviado el último día del gobierno de Piñera), en Europa llevan años debatiendo sobre la importancia de garantizar medidas mínimas de protección sobre sectores estratégicos para los países de la Unión Europea.
Hasta hace unas semanas atrás, se encontraba vigente la Directiva 2008/114/CE del Consejo Europeo, que era del 8 de diciembre de 2008 , «sobre la identificación y designación de infraestructuras críticas europeas y la evaluación de la necesidad de mejorar su protección». sobre infraestructuras críticas y que sólo contemplaba la energía y el transporte. El Parlamento Europeo pidió una revisión de la misma en una resolución sobre las conclusiones de la Comisión Especial sobre Terrorismo en 2018.
En este mismo sentido, hace unos días el Parlamento Europeo ha aprobado una nueva ley que protegerá con mayor eficacia las infraestructuras esenciales de la Unión.
La Eurocámara ha ratificado, por 595 votos a favor, 17 en contra y 24 abstenciones, el acuerdo alcanzado con el Consejo para introducir unas normas mínimas para la evaluación de riesgos y unas estrategias nacionales de resiliencia, y para armonizar la definición de «infraestructura crítica» en todos los Estados miembros.
Tal como se informa en su sitio web, hasta once son los sectores considerados como infraestructura crítica cubiertos por la nueva regulación.
La ley se aplicará a los siguientes sectores:
- la energía,
- el transporte,
- la banca,
- las infraestructuras del mercado financiero,
- las infraestructuras digitales,
- el agua potable y las aguas residuales,
- la producción, transformación y distribución de alimentos,
- la salud,
- la administración pública
- y el espacio.
Se endurecen los requisitos para evaluar los riesgos e informar de problemas por parte de los proveedores de servicios considerados críticos.
«Estas nuevas normas obligarán a los Estados miembros a contar con estrategias nacionales de resiliencia y a que la comunicación transfronteriza se realice a través de unos puntos de contacto únicos que designará cada Estado miembro. Por otro lado, deberá evitarse que los operadores de servicios críticos tengan que duplicar las notificaciones, lo que supondría para ellos una carga burocrática innecesaria. Para garantizar la transparencia, los responsables de infraestructuras esenciales deberán informar a las autoridades nacionales de cualquier incidente o perturbación, y las autoridades alertarán a la población cuando el asunto sea de interés público».
Un punto interesante es la forma en que se llega a esta normativa. El trabajo se realizó por parte de equipos negociadores del Parlamento Europeo y el Consejo de la UE quienes llegaron a un acuerdo sobre la resiliencia de la infraestructura esencial. Las nuevas normas establecerían normas mínimas armonizadas para garantizar que los diferentes Estados miembros clasifiquen a los mismos proveedores como esenciales, y evaluaciones de riesgos para infraestructuras esenciales para aumentar su resiliencia frente a perturbaciones y peligros. Interesante es considerar que, a petición del Parlamento, la administración pública también se incluyó en el ámbito de aplicación de las normas.
Para armonizar la comunicación, cada Estado miembro debe designar un único punto de contacto que actúe como enlace y garantice el funcionamiento de la cooperación transfronteriza.
Es muy interesante la forma en que la Unión Europea aborda este tema y cómo evoluciona el concepto, sobre todo para dar garantías vinculadas a seguridad nacional de los Estados miembros.
Esperemos que en nuestro país tenga en consideración esta nueva regulación y el sentido del mismo, considerando que actualmente la regulación en Chile ni siquiera reconoce el concepto de infraestructura crítica, menos en el ámbito de ciberseguridad.
