La Agencia Europea de Seguridad de las Redes y de la Información, ENISA, ha publicado un nuevo informe donde analiza distintos artículos de la legislación europea, que establecen obligaciones en materia de ciber incidentes y medidas de seguridad.

El nuevo informe proporciona una visión general de la legislación existente, y también sobre algunos procesos regulatorios en curso, que cubren la notificación de incidentes seguridad del artículo 13 a) del llamado paquete “Telecom”, el artículo 4 de la Directiva 2002/58/CE del Parlamento Europeo sobre privacidad electrónica, el artículo 15 sobre la propuesta de regulación de la identificación electrónica, y los artículos 30, 31, 32 de la propuesta de Reglamento europeo de Protección de Datos.

Algunas de las conclusiones de este Estudio son:

• Lagunas legislativas: No todos los Estados miembros han traspuesto la legislación sobre medidas de seguridad y reporte de incidentes. Por otro lado, existen grandes diferencias entre las aproximaciones nacionales a dicha legislación. ENISA proporciona cinco ejemplos de ciber incidentes con gran impacto en la seguridad y privacidad de las comunicaciones, ocurridos entre 2010 y 2012. Tres de ellos no estarían cubiertos por la actual legislación.
• Falta de transparencia: Los incidentes cibernéticos, en Europa, son comúnmente mantenidos en secreto cuando se descubren, dejando a los clientes y a los responsables políticos en la oscuridad acerca de la frecuencia, el impacto y las causas del problema.
• Necesidad de intercambio de información: Las autoridades nacionales deberían intercambiar conocimiento acerca de obligaciones legales y requerimientos técnicos en sus Estados respectivos. Además, se debe promover  el intercambio de información entre proveedores, expertos técnicos, equipos de respuesta a incidentes (como los CERT nacionales) grupos de coordinación de crisis, y otras organizaciones involucradas.
• Necesidad de herramientas: Proveedores y autoridades nacionales deberían desarrollar herramientas automatizadas e interfaces que permitan la notificación eficiente de los incidentes, a un nivel de detalle suficiente, evitando los procedimientos de reporte manuales y ad-hoc.

Consulta el informe completo, aquí.