La reforma de 2009 del marco legislativo de la UE para las
comunicaciones electrónicas (Directiva de la UE 2009/140/CE) introdujo
el artículo 13a en su Directiva Marco (Directiva 2002/21/CE enmendada en
2009/140/CE).
Este artículo 13a se refiere a la seguridad e integridad de las redes,
comunicaciones y servicios electrónicos. La primera parte del artículo
requiere que los proveedores de redes y servicios gestionen los riesgos
de seguridad y mantegan medidas de seguridad apropiadas para garantizar
la seguridad (párrafo 1) e integridad (párrafo 2) de sus redes. La
segunda parte del artículo (párrafo 3) requiere que los proveedores
informen las brechas de seguridad significativas y las pérdidas de
integridad a las autoridades nacionales competentes, que además deben
informar sobre estos incidentes a
ENISA (European Union Agency for Network and Information Security) y la Comisión Europea (CE) anualmente.
En 2010, ENISA, la CE, los ministerios de comunicaciones electrónicas y
las autoridades de reglamentación (ANR), iniciaron una serie de
reuniones (talleres, reuniones físicas, conferencias telefónicas) para
lograr una implementación eficiente y armonizada del artículo 13a en
toda la UE.
Ahora, el grupo de expertos ha alcanzado un consenso sobre dos directrices técnicas vinculantes y ha publicado la
"Guía técnica sobre reporte de incidentes de seguridad" [PDF] y la
"Guía sobre medidas técnicas de seguridad" [PDF].
Estos documentos proporcionan orientación sobre los detalles técnicos de
la aplicación de los apartados 1 y 2 del artículo 13a: cómo evaluar los
riesgos y tomar medidas de seguridad apropiadas y contienen una lista
de 25 objetivos de seguridad de alto nivel, agrupados en 7 dominios.
Cristian de la Redacción de Segu-Info