¿Por qué México debe analizar la directiva NIS en materia de ciberseguridad?

Por Areli Rojas Rivera

Los contenidos de una directiva como la NIS no pertenecen a la doctrina de la seguridad nacional, por lo menos no como lo planteó la UE, porque sus riesgos no afectan a la misma, sino a la seguridad pública

La NIS[1] nace en la Comisión Europea en julio de 2016 y consiste en una directiva con reglas y mecanismos de cooperación destinados a garantizar de forma sólida un nivel común de seguridad de las redes y sistemas de información en la Unión Europea; dichas directrices además contemplan una estrategia de comunicación con instrucciones sobre su aplicación para facilitar su homologación y armonización en el territorio de la UE.

Sin duda, esta directiva ha sido un ejercicio de regulación prolongado y complejo, toda vez que la Directiva (UE) 2016/1148 sobre la seguridad de las redes y sistemas de información (Directiva NIS en sus siglas en inglés o SRI en español) se adoptó el 6 de julio de 2016 para hacer mejoras y establecer un nivel mínimo común en las capacidades de respuesta y la cooperación de la ciberseguridad entre todos los países que forman parte de la UE, así como para fomentar una cultura de gestión de riesgos y notificación de incidentes entre los agentes económicos que son clave, como los operadores de servicios tecnológicos y proveedores de servicios digitales.

El objetivo de la NIS se enfocó en robustecer a través de diversas mejorías, la seguridad de las redes y de los sistemas de información, que en inicio no era la finalidad procurar la ciberseguridad per se en los Estados, sino que pretendía garantizar un medio para fomentar el mercado único digital en la Unión Europea (seguridad económica) por lo que la Comisión tuvo una amplia convocatoria de diversos sectores en su elaboración. Y de esta forma nos encontramos que actores como los gestores de las infraestructuras críticas de agua, energía, salud, transporte, banca y finanzas, entre otros como los que proporcionan a la ciudadanía determinadas categorías de servicios propios de una economía digital, participaron activamente en la realización de la NIS.

La pluralidad de actores dio como resultado un mecanismo de coordinación transversal, que es la Plataforma NIS, la cual procuró garantizar que la Directiva atendía también intereses sustantivos económicos y no sólo intereses de ciberseguridad en diversos niveles de la administración pública.

La trasposición de la NIS debe considerar ciertas características en cada país que pretenda ser aplicada, si bien en Latinoamérica o en México aún no se habla de algo similar; es un hecho que debemos comenzar ya.  Una iniciativa similar a la NIS, debe contar con un enfoque intergubernamental e intersectorial, seguramente cada actor que participe tendrá sus propios intereses respecto a la seguridad en sistemas de información y redes; sobre todo las instituciones encargadas de hacer cumplir la ley y mantener el orden en nuestro país.

Desde ya, se debe contemplar la colaboración público-privada, ya que seguramente se va a generar mucha inquietud entre los operadores de servicios tecnológicos y los proveedores de servicios digitales. Lo real es que una iniciativa como la NIS, no deberá ir más allá de los límites propios de la seguridad nacional, claro, acá deberíamos entrar a un planteamiento de ciberdefensa, que difiere en su concepción en ciertos rasgos respecto a la ciberseguridad, pero ya habrá momento para dicertarlo.

Los contenidos de una directiva como la NIS no pertenecen a la doctrina de la seguridad nacional, por lo menos no como lo planteó la UE, porque sus riesgos no afectan a la misma sino a la seguridad pública; sólo una parte de la regulación en materia de ciberseguridad afecta a la esencia de la seguridad nacional, y se debe ser cuidadoso en ese sentido, toda vez que se corre el riesgo de elaborar una directiva demasiado securitista y alejada de un enfoque más intersectorial.

La regulación de las cuestiones vinculadas a la ciberseguridad debe dar lugar a plataformas de colaboración público–privada. Todos y todas en México desde diversos sectores debemos tener la capacidad para adaptarnos a la evolución tecnológica y contar con mayores recursos para consolidar mejores prácticas locales e internacionales, incluso debemos fomentar la educación en materia de ciberseguridad desde tempranas edades.

El sector público, debe abrirse a mecanismos activos de participación ordinarios más inclusivos, aprovechando los recursos que existen en los sectores privados para compensar sus carencias reguladoras, centrándose en la supervisión. El sector privado debe mejorar la confianza para la cooperación con sus homólogos privados y con las instituciones; fortaleciendo la interlocución si desea que los gobiernos le concedan mayor protagonismo.

La gestión de la ciberseguridad deberá dar como resultado el fortalecimiento de las instituciones, las industrias y el modelo de gobernanza, pues es innegable que lo ciber llegó para instalarse en nuestras vidas y en las estructuras críticas de los Estados.

[1] Directiva del Parlamento Europeo y del Consejo relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información de la Unión.

Deja un comentario

A %d blogueros les gusta esto: