Inicio / Blog / Modificaciones a la LSSI en la Ley 9/2014: nuevos instrumentos legales para la ciberseguridad

Modificaciones a la LSSI en la Ley 9/2014: nuevos instrumentos legales para la ciberseguridad

Publicado el 22/05/2014, por María José Santos (INCIBE)
Ley 9/2014

La Agenda Digital para Europa pone de manifiesto el hecho de que internet y las tecnologías de la comunicación y de la información representan actualmente un medio esencial para la actividad económica y social: para hacer negocios, trabajar, ocio, comunicarnos y expresarnos libremente. Asimismo, ha sido un factor clave en la reconducción de Europa hacia el desarrollo.

No hay duda de que el ciberespacio constituye un activo de gran relevancia para el desarrollo económico y social y por ello debemos de velar por su seguridad.

La nueva Ley 9/2014, de 9 de mayo, General de Telecomunicaciones en su Disposición final segunda, modifica la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico.

Esta reforma recoge algunos cambios que son esenciales para la seguridad en el ciberespacio porque es la primera vez que esta ley utiliza el término Ciberseguridad y reconoce el papel fundamental que los Equipos de Respuesta de Incidentes de Seguridad (CERT) desempeñan a la hora de reducir el impacto de los ciberataques y ciberamenazas.

La reforma considera el intercambio de información como la piedra angular sobre la que debe girar la Ciberseguridad.

El intercambio de información sobre amenazas e incidentes de seguridad es una de las principales y más eficientes prácticas de colaboración utilizadas en múltiples ámbitos e incluso en la gestión de incidentes de seguridad cibernéticos entre los CERTs no sólo a nivel nacional sino europeo e internacional. Sin embargo, los CERTs venían reclamando mayor seguridad jurídica y un fortalecimiento de la cooperación entre los distintos actores de la red en la lucha e investigación de las ciberamenazas. Así, para realizar su trabajo, los CERTs requieren recabar información de diferentes agentes implicados en el ciberespacio, como son los prestadores de servicios de sociedad de la información, otros Equipos de Incidentes de Seguridad y los propios usuarios que son los que, en último extremo, sufren los incidentes de seguridad.

En este contexto, la nueva regulación es un paso al frente en la lucha contra la ciberdelincuencia y las ciberamenazas y aporta los siguientes instrumentos legales en la investigación de incidentes de seguridad:

  1. Obligación de colaboración con las autoridades competentes para la aportación de las evidencias técnicas, información o datos necesarios para la persecución de actividades ilícitas y/o derivados de incidentes de ciberseguridad por parte de:

Obligación de colaboración con las autoridades competentes

  1. Posibilidad de aislamiento de un equipo o servicio de la red infectado Los usuarios de servicios de la sociedad de la información deberán colaborar en la resolución de incidentes de ciberseguridad.

    El proceso es el siguiente:

    Posibilidad de aislamiento de un equipo o servicio de la red infectado

    La ley da, por tanto, funciones importantes a los CERTs competentes para la disminución de ciberamenazas o ciberataques, como son las de decidir sobre el aislamiento de cualquier equipo o servicio de internet geolocalizado en España o que esté operativo bajo un nombre de dominio «.es» u otros cuyo registro esté establecido en España.

    Ahora bien, deberemos esperar al desarrollo reglamentario de la ley para conocer quién o quienes se considerarán CERT competente a los efectos de lo previsto en la presente disposición. Y esperemos que aborde las competencias concretas y funcionamiento de los mismos.

La Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información (SETSI) será la encargada de impulsar en un plazo de seis meses un programa que avance en un esquema de cooperación público-privada con el fin de identificar y mitigar los ataques e incidentes de ciberseguridad que afecten a la red de internet en España mediante códigos de conducta, en línea con la Ley 34/2002 que consideraba que son un instrumento de autorregulación especialmente apto ya que hace coparticipes para su desarrollo a las entidades del sector. No debemos olvidar que la adhesión a un código de conducta es voluntaria. Estos trabajos se promoverían en el marco definido en la Estrategia Nacional de Ciberseguridad.

Además, la nueva disposición recoge el contenido sobre el que deben versar los códigos de conducta:

  • normas, medidas y recomendaciones a implementar que permitan garantizar una gestión eficiente y eficaz de dichos incidentes de ciberseguridad
  • el régimen de colaboración y condiciones de adhesión e implementación
  • los procedimientos de análisis y revisión de las iniciativas resultantes

La SETSI además garantizará un intercambio fluido de información con la Secretaría de Estado de Seguridad (SES) del Ministerio del Interior sobre incidentes, amenazas y vulnerabilidades según lo contemplado en la Ley 8/2011, de 28 de abril, por la que se establecen medidas para la Protección de las Infraestructuras Críticas.

Por tanto, la nueva ley completa el mapa de los principales agentes implicados en la gestión de incidentes de seguridad:

Incidentes de seguridad

La colaboración entre los distintos agentes que actúan en la red es, sin duda, un paso necesario para la ciberseguridad y, ahora, tiene un marco legal más definido.

Etiquetas: