La mayor vigilancia requerirá inversiones de 2.000 millones de euros
El presidente del Eurogrupo, Jeroen Dijsselbloem, conversa con el ministro de Finanzas británico, George Osborne.
El presidente del Eurogrupo, Jeroen Dijsselbloem, conversa con el ministro de Finanzas británico, George Osborne. EFE

La UE fija por primera vez normas de ciberseguridad para la gran industria

La UE pactó ayer la directiva sobre ciberseguridad, la primera norma de rango europeo que pretende reforzar la vigilancia de las redes informáticas que sostienen servicios esenciales como sanidad, energía, distribución de agua, transporte o banca. La nueva ley requerirá inversiones millonarias tanto del sector público, como del privado.

Por primera vez, la Unión Europea se dota con normas armonizadas sobre seguridad de las redes digitales de las que depende la mayor parte de la actividad económica, social y logística de todo el continente. “Se trata de un avance sumamente importante en materia de ciberseguridad”, celebraba el acuerdo Pilar del Castillo, eurodiputada popular y una de las ponentes del texto desde que comenzó su tramitación en 2013.

La directiva sobre ciberseguridad cubre a sectores como banca, sanidad, energía, agua y transporte. Las autoridades nacionales deberán identificar a las compañías de esos sectores (las pymes están exentas) que puedan calificarse como “operadores de servicios esenciales”.

Las empresas que reciban esa etiqueta deberán elaborar planes estrictos y rigurosos de seguridad de sus redes virtuales y notificar a las autoridades nacionales cualquier incidente grave en su funcionamiento.

La norma europea también impone esas obligaciones de vigilancia e información a las empresas del sector digital, incluidas las plataformas de comercio electrónico (como eBay), buscadores (Google) o los gestores de servicios en la nube o cloud. Bruselas calculaba en 2013, cuando se inició la tramitación de la nueva norma, que su aplicación requeriría unas inversiones de hasta 1.800 millones de euros. El grueso de esa inversión, según la CE, correría a cargo de las administraciones públicas, con una factura de hasta 1.100 millones de euros.

En el sector privado, solo el sector energético se encuentra al día en seguridad y no requerirá inversiones adicionales ni siquiera cuando entre en vigor la directiva. El resto tiene una factura millonaria por delante.

La banca podría ser la más afectada con una inversión media de hasta 44.000 euros por entidad y una inversión total de 340 millones de euros. En el sector de transportes, la factura superaría los 200 millones de euros y en sanidad, los 130 millones. Pero a ese coste habría que sumar, según los cálculos de Bruselas, otros 3.100 millones de euros necesarios para mejorar la seguridad de las redes incluso antes de la aplicación de la directiva. De nuevo, la banca parece ser el sector más atrasado, con unas inversiones pendientes de 500 millones sobre un total de 1.100 millones para todo el sector privado. Para el sector público, las mejoras de seguridad previas a la directiva requerirían inversiones de otros 3.000 millones de euros.

Beneficios
Durante dos años, algunos países se han resistido a aprobar la directiva, bien por temor a su impacto económico o por preservar su soberanía en cuestiones de seguridad. Pero la armonización se ha impuesto en los últimos meses, como consecuencia, en parte, de la creciente amenaza terrorista. Y en la noche del lunes al martes, el Consejo Europeo y el Parlamento Europeo lograron superar sus diferencias y pactar un texto que los 28 países de la UE deberán adoptar en un plazo de 21 meses.

Bruselas asegura que la inversión en seguridad compensa porque el coste de los incidentes cibernéticos puede ser descomunal. “El Foro Económico Mundial”, subraya Del Castillo, “calcula que en los próximos años hay un 10% de posibilidades de perturbaciones en servicios esenciales, con un impacto económico de hasta 250.000 millones de dólares”.

La CE recuerda que Sony o BlackBerry sufrieron ciberataques en 2011 que les costaron 175 y 50 millones de dólares, respectivamente.

La amenaza de atentados o de un desastre natural

La directiva europea sobre ciberseguridad obligará a los 28 países de la UE a designar una autoridad central encargada de velar por el cumplimiento de las normas de seguridad y a crear equipos de intervención en caso de incidentes en grandes redes informáticas.

Los estudios previos a la directiva muestran el incremento de la cibercriminalidad, cuyos ataques se multiplicaron por nueve entre 2006 y 2011. Pero Bruselas recuerda que, además de la ciberdelincuencia, los incidentes en la red pueden producirse por errores humanos, desastres naturales o, de manera deliberada, por atentados. Y el impacto puede ser tremendo.

Bruselas recuerda el daño causado a las redes de telecomunicaciones por las inundaciones del río Elba en 2002. O el corte por error, en 2012, de un cable submarino entre Reino Unido y Holanda.

El terrorismo también puede utilizar las redes de comunicación en propio beneficio. Los ministros de Economía y Finanzas (Ecofin) acordaron ayer acelerar la lucha contra la financiación digital del terrorismo, con la creación de una red que rastree los pagos transfronterizos ligados a actividades ilegales.

Normas
Entra en EL PAÍS