LA UNIÓN EUROPEA APRUEBA UN REGLAMENTO PARA PROTEGERSE CONTRA LOS CIBERATAQUES
Los ciberataques cobran cada vez mayor envergadura y es ya una preocupación creciente entre Estados por las repercusiones que pueden tener, no sólo en sus empresas, sino también en los servicios críticos e incluso en la propia estabilidad de los Estados.
Una de los aspectos que caracterizan a los ciberataques es su carácter global y transfronterizo, suponiendo su tratamiento, asignación de responsabilidades legales y/o de imposición de sanciones un reto desde el punto de vista jurídico.
Tal es la preocupación al respecto, que la ONU ha publicado el Informe sobre Cooperación Digital, elaborado por un grupo de expertos independientes, en el que insta a la cooperación entre los gobiernos, el sector privado y la sociedad civil para maximizar los beneficios y minimizar los daños de las tecnologías digitales. El informe propone como recomendaciones: construir una economía y sociedad digital inclusiva; desarrollar capacidades humanas e institucionales; proteger los derechos humanos y la agencia humana; promover la confianza digital, la seguridad y la estabilidad; y fomentar la cooperación global digital.
Para resolver este aspecto, a nivel europeo, el Consejo aprobó el pasado mayo el Reglamento (UE) 2019/796 del Consejo, de 17 de mayo de 2019, relativo a medidas restrictivas contra los ciberataques que amenacen a la Unión o a sus Estados miembros, especialmente cuando estos se dirijan desde fuera de la Unión. Con el mismo, y tras la declaración de la Alta Representante[1], en nombre de la UE, sobre el respeto de un orden basado en normas en el ciberespacio de abril, junto a la Decisión (PESC) 2019/797 de 17 de mayo de 2019 del Consejo relativa a medidas restrictivas contra los ciberataques que amenacen a la Unión o a sus Estados miembros, los 28 tratan de blindarse contra la ciberdelincuencia.
El mencionado Reglamento (UE) 2019/796 restringe su ámbito de aplicación a aquellos ciberataques con un efecto significativo, incluidas las tentativas de ciberataque con un efecto significativo potencial, que constituyan una amenaza externa para la Unión o para sus Estados miembros, incluyendo los cometidos contra sus instituciones, órganos y organismos, sus delegaciones en terceros países o ante organizaciones internacionales, sus operaciones y misiones de la política común de seguridad y defensa (PCSD) y sus representantes especiales.
Para que un ciberataque se encuadre dentro del ámbito de aplicación del Reglamento, debe considerarse:
a) Una amenaza externa, es decir, que:
a. se originen, o se cometan, desde el exterior de la Unión;
b. utilicen infraestructura fuera de la Unión;
c. hayan sido cometidos por una persona física o jurídica, una entidad o un organismo establecidos o que tengan actividad fuera de la Unión; o
d. hayan sido cometidos con el apoyo, bajo la dirección o bajo el control de una persona física o jurídica que tenga actividad fuera de la Unión.
b) Que suponga una de las siguientes acciones, cuando no estén debidamente autorizadas por el propietario o por otro titular de derechos del sistema o de los datos, o de parte de los mismos, o no estén permitidas por el Derecho de la Unión o de un Estado miembro:
a. acceso a sistemas de información; se entiende como «sistemas de información»: todo aparato o grupo de aparatos interconectados o relacionados entre sí, uno o varios de los cuales realizan, mediante un programa, el tratamiento automático de datos digitales, así como los datos digitales almacenados, tratados, recuperados o transmitidos por dicho aparato o grupo de aparatos para su funcionamiento, utilización, protección y mantenimiento.
b. intromisión en sistemas de información, considerando como tal la obstaculización o interrupción del funcionamiento de un sistema de información introduciendo datos digitales, transmitiendo, dañando, borrando, deteriorando, alterando o suprimiendo tales datos, o haciéndolos inaccesibles.
c. intromisión en datos: el borrado, dañado, deterioro, alteración o supresión de los datos digitales en un sistema de información, o inutilización del acceso a estos datos. También incluirá el robo de datos, fondos, recursos económicos o derechos de propiedad intelectual.; o
d. interceptación de datos: la interceptación, por medios técnicos, de transmisiones no públicas de datos digitales hacia, desde o dentro de un sistema de información, incluidas las emisiones electromagnéticas de un sistema de información que contenga dichos datos digitales.
c) Los factores que determinan el alcance significativo de un ataque, tienen en cuenta los siguientes elementos:
a. el alcance, la escala, la repercusión o la gravedad de la perturbación ocasionada; incluido en las actividades económicas y sociales, los servicios esenciales, las funciones fundamentales del Estado, el orden público o la seguridad pública;
b. el número de afectados;
c. el número de Estados miembros afectados;
d. el importe de las pérdidas económicas ocasionadas;
e. los beneficios económicos obtenidos por el infractor, para sí o para otros;
f. la cantidad o la naturaleza de los datos sustraídos o la magnitud de las violaciones de datos; o
g. la naturaleza de los datos comercialmente sensibles a los que se haya tenido acceso.
De este modo, deja un gran margen para legislar a los países en el ámbito interno, como ya lo venía haciendo nuestro Código Penal, por ejemplo, con los delitos de descubrimiento y revelación de secretos o el de daños informáticos.
A continuación, el Reglamento incluye una lista de ciberataques que constituyen una amenaza para los Estados miembros, siendo aquellos que afecten a los sistemas de información relacionados entre otras aspectos, con:
a) las infraestructuras críticas, incluidos los cables submarinos y los objetos lanzados al espacio ultraterrestre, que resulten esenciales para el mantenimiento de funciones vitales de la sociedad, o para la salud, la seguridad, la protección y el bienestar económico o social de las personas;
b) los servicios necesarios para el mantenimiento de actividades sociales o económicas esenciales, en particular en los sectores de la energía; el transporte; la actividad bancaria; las infraestructuras de los mercados financieros; el sector sanitario; el suministro y la distribución de agua potable; las infraestructuras digitales; y cualquier otro sector que resulte esencial para el Estado miembro de que se trate;
c) las funciones vitales del Estado, en particular en los ámbitos de la Defensa, la gobernanza y el funcionamiento de las instituciones, incluido en el caso de las elecciones públicas o los procesos electorales, el funcionamiento de las infraestructuras económicas y civiles, la seguridad interior, y las relaciones exteriores, también a través de las misiones diplomáticas;
d) el almacenamiento o el tratamiento de información clasificada; o
e) los equipos de respuesta de emergencia del Estado.
Como medidas contra aquellos que perpetúen estos ciberataques, el Reglamento aplica tres fundamentales:
a) La primera, será el registro y publicación, en el Anexo I de la norma de:
a. las personas físicas o jurídicas, entidades u organismos que sean responsables de los ciberataques o intentos de ciberataques, donde se expondrán los motivos de la inclusión en la lista de las personas físicas o jurídicas, entidades u organismos afectados.
b. las personas físicas o jurídicas, entidades u organismos que presten ayuda financiera, técnica o material o que estén implicadas de alguna otra forma en ciberataques o tentativas de ciberataque, en particular mediante la planificación, preparación, dirección o fomento de dichos ataques, así como la participación en ellos o la ayuda a su comisión, o la facilitación de su comisión por acción u omisión.
c. las personas físicas o jurídicas, entidades u organismos asociados con las personas físicas o jurídicas, entidades u organismos a que se refieren los apartados anteriores.
Esta lista se revisará periódicamente y como mínimo cada doce meses.
b) La segunda será la inmovilización de todos los fondos y recursos económicos que pertenezcan a cualquier persona física o jurídica, entidad u organismo que figure en el anexo I, al igual que todos los fondos y recursos económicos que esas personas físicas o jurídicas, entidades u organismos posean, detengan o controlen.
c) Y, finalmente, no poner a disposición directa ni indirecta de las personas físicas o jurídicas, entidades u organismos que figuren en el anexo I ni utilizar en su beneficio ningún tipo de fondos o recursos económicos.
Sin embargo, los artículos 4, 5 y 6 del Reglamento establecen una serie excepciones y permiten a los Estados, bajo una serie de circunstancias, a autorizar la liberación de determinados fondos o recursos económicos inmovilizados.
El Reglamento se aplicará:
a) En el territorio de la Unión, incluido su espacio aéreo;
b) a bordo de toda aeronave o buque que esté bajo la jurisdicción de un Estado miembro;
c) a toda persona física, ya se encuentre dentro o fuera del territorio de la Unión, que sea nacional de un Estado miembro;
d) a toda persona jurídica, entidad u organismo, ya se encuentre dentro o fuera del territorio de la Unión, registrado o constituido con arreglo al Derecho de un Estado miembro;
e) a toda persona jurídica, entidad u organismo en relación con cualquier actividad comercial efectuada, en su totalidad o en parte, en la Unión.
Además, las medidas que contempla el Reglamento, se aplicarán, no solo cuando los ataques se dirijan contra los Estados miembros, sino que también serán aplicables cuando se estimen necesarias para el cumplimiento de los objetivos de la política exterior y de seguridad común (PESC) en las disposiciones pertinentes del artículo 21 del Tratado de la Unión Europea, cuando tengan un efecto significativo contra terceros Estados u organizaciones internacionales.
El Reglamento tiene una clara voluntad de ampliar la jurisdicción al respecto de los ciberataques.
La efectividad de las medidas contempladas en el Reglamento, las señala el mismo en diferentes aspectos, entre los que podemos destacar; la obligación de las personas físicas y jurídicas, entidades y organismos de transmitir inmediatamente cualquier información que facilite el cumplimiento del presente Reglamento, como información sobre las cuentas y los importes inmovilizados; la prohibición de participar de manera consciente y deliberada en acciones cuyo objeto o efecto sea eludir las medidas que se han señalado anteriormente; la obligación de la Comisión y los Estados miembros de comunicarse las medidas adoptadas en aplicación del presente Reglamento y compartir toda la información pertinente de que dispongan relacionada con éste.
Les corresponde a los Estados miembros establecer las normas sobre las sanciones aplicables a las infracciones de las disposiciones del Reglamento y adoptar todas las medidas necesarias para garantizar su aplicación. Las sanciones establecidas deberán ser efectivas, proporcionadas y disuasorias. También deberán designar a las autoridades competentes para la aplicación del Reglamento; en el caso de España, se puede encontrar la información en el siguiente enlace.
En materia de protección de datos, la Comisión llevará a cabo el tratamiento de datos personales, como responsable del tratamiento, en el ejercicio de sus funciones, será responsable de:
a) añadir el contenido del Anexo I en la lista electrónica consolidada de personas, grupos y entidades sujetos a sanciones financieras de la Unión y en el mapa interactivo de sanciones, ambos de acceso público;
b) tratar la información sobre las repercusiones de las medidas del presente Reglamento, tales como el valor de los fondos inmovilizados y la información sobre las autorizaciones concedidas por las autoridades competentes;
c) garantizar que las personas físicas afectadas puedan ejercer sus derechos.
[1] Puede consultar información sobre esta figura en: https://eur-lex.europa.eu/summary/glossary/high_representative_cfsp.html?locale=es
Verónica Gutiérrez Juan Martínez
Consultora / Advisor Senior en @govertis Consultor / Advisor Senior en @govertis
@vgutierrezv_ @MartnezPenaJuan
Expertos en Ciberseguridad, Privacidad, IT GRC y Cumplimiento Normativo unificando la perspectiva Legal y Tecnológica.
