¿Está Europa preparada contra los ciberataques?
Europa ha incluido la ciberseguridad entre sus prioridades, como se vio en el Consejo celebrado a finales de junio. El 69% de las empresas europeas no tiene un conocimiento básico sobre su exposición a ciberriesgos pese a que el 80% de ellas ha sufrido algún tipo de incidente de ciberseguridad en el último año. Con estos datos en mente, European Parliamentary Financial Service Forum (EPFSF) convocó hace unas semanas en el Parlamento Europeo a expertos en ciberseguridad —entre ellos a BBVA— para proponer soluciones que hagan frente a los riesgos en la red.
La Unión Europea ha dado pasos adelante, pero el camino por recorrer aún es largo. Esta es la principal conclusión que se puede extraer de este foro de expertos sobre ciberseguridad celebrado en Bruselas. En el lado positivo de la balanza: las nuevas normativas relacionadas, por ejemplo, con la privacidad de los datos.
En los últimos meses, han entrado en vigor varias normas en la UE que buscan mejorar los niveles de seguridad en la red. El reglamento GDPR, que eleva el nivel de protección de los datos personales, y la directiva NIS, que busca mejorar la seguridad de las redes y sistemas de información, son dos ejemplos de ello.
“Regulaciones como GDPR y NIS son un gran paso para fomentar un buen uso elemental de la seguridad y privacidad en los Estados miembros”, afirmó Álvaro Garrido, responsable de ciberseguridad de BBVA, en su intervención.
Regulaciones como GDPR y NIS son un gran paso para fomentar un buen uso elemental de la seguridad y privacidad en los Estados miembros
Esta sesión, celebrada en el Parlamento Europeo fue moderada por la eurodiputada Mady Delvaux y contó con la participación de representantes de BBVA, Intesa San Paolo, Zurich, Axa, Deloitte, la Federación Bancaria Europea y la Organización de Consumidores Europeos (BEUC).
El sector financiero europeo ante la ciberseguridad
El sector financiero también afronta toda una serie de retos de ciberseguridad, tras la aprobación de varias regulaciones: el reglamento GDPR, las directivas NIS —en vigor desde agosto de 2016 y que ahora debe ser aplicada por los Estados miembros— y PSD2 —que regula los sistemas de pago—, o eIDAS, que establece un marco legal común para las firmas electrónicas en la Unión Europea.
En este sentido, Garrido considera que los mayores desafíos residen en el ámbito operacional, como la gestión de crisis, ya que requieren una mayor eficacia y eficiencia en la coordinación.
Asimismo, cree fundamental dar una respuesta conjunta nacional e internacional, impulsada mediante nuevas herramientas legislativas. Por otra parte, coincidió con el resto de expertos en la necesidad de mejorar la educación de la ciudadanía que utiliza servicios digitales, así como en conseguir y retener el talento necesario en las áreas de ciberseguridad de las empresas.
La ciberseguridad entra en la agenda regulatoria europea
Los legisladores europeos están dando pasos en la buena dirección, incorporando la ciberseguridad como una prioridad. Sin embargo, los panelistas de este foro sugirieron concretar estos pasos en medidas operativas y despejar los flecos en el marco regulatorio más rápidamente, para aumentar la resiliencia del sector financiero ante ciberataques.
No se puede negar que la Unión Europea quiere reforzar sus normas sobre ciberseguridad, como parte del objetivo de crear un mercado único digital en la UE. De hecho, en el pasado Consejo Europeo del 19 y 20 de junio se aprobó la creación de un marco de certificación a escala de la UE para todo lo relacionado con las TIC (Tecnologías de la Información y la Comunicación), además de un Equipo de Respuesta a Emergencias Informáticas permanente.
Anteriormente, en septiembre de 2017, la Comisión Europea propuso un paquete de medidas basadas en la estrategia previa de ciberseguridad de la UE y su pilar fundamental, la Directiva sobre seguridad de las redes y sistemas de información (Directiva SRI).
Estas propuestas incluyen la creación de una agencia de ciberseguridad de la UE más fuerte, la introducción de un régimen de certificación de la ciberseguridad a escala de la UE y la rápida aplicación de la Directiva SRI. Más tarde, en octubre de ese mismo año, el Consejo de Telecomunicaciones acordó un plan de actuación para la reforma de la ciberseguridad de la UE.
Asimismo, el BCE pretende ayudar a las entidades financieras a enfrentar estos ataques. Para ello, en mayo de 2018 lanzó una nueva herramienta que simula ciberataques en bancos, bolsas de valores y otras empresas que son los actores fundamentales para el funcionamiento del sistema financiero, informa Reuters. La iniciativa del BCE tiene como objetivo probar la ciberresistencia de las entidades financieras en la Unión Europea.