Comentarios al Paquete de Ciberseguridad de la Comisión Europea

El día 6 de diciembre terminó el período de comentarios que abrió la Comisión Europea el pasado 13 de septiembre a su propuesta de regulación sobre ENISA y sobre la certificación de ciberseguridad de las TIC (referencia COM(2017)477). Finalmente, 32 organizaciones han proporcionado su opinión, como se puede comprobar en la web destinada a tal efecto. El objetivo de esta entrada es, precisamente, compartir nuestra opinión sobre dicha normativa pero, antes de eso, nos gustaría resaltar que de las 32 opiniones enviadas, destacan las realizadas desde la propia Bélgica (11), ya que es dónde residen muchos centros de lobby y organizaciones de ámbito europeo, pero tras éstas, se han enviado 5 opiniones desde Francia, 3 desde el Reino Unido, Estados Unidos y Alemania y solo una, desde el resto de países (Polonia, Portugal, Holanda, Dinamarca, Finlandia, República Checa y España)... Así que nuestra primera reflexión sería, ya que nos dan la oportunidad de opinar sobre la regulación que va a venir, ¿por qué no ser más proactivos que limitarnos a quejarnos después de que ha sido publicada?

Pero, yendo al grano, nuestros comentarios a la legislación propuesta han ido en el siguiente sentido:

  • En relación al rol de ENISA, echamos de meno una iniciativa o grupo de tareas relacionadas con apoyar a la sociedad europea en materia de ciberseguridad y, en concreto, en promover el uso de metodologías de construcción de capacidades.
  • Por otra parte, pensamos que la certificación no es la única solución para lograr el objetivo de mejorar los niveles de seguridad (de hecho, en Europa contamos con otras vías para cubrir problemáticas similares, por ejemplo, el programa REACH o las evaluaciones de conformidad para el mercado único) y que la apuesta por este mecanismo como única vía, va a incrementar la fragmentación del mercado puesto que cada caso de uso va a necesitar de su propia norma certificable. Por tratar de hacer un símil, es como si en lugar de pensar en hacer un traje a medida para cada persona, inténtaramos estandarizar una talla única para todo el mundo (bueno, en realidad, por sectores, como si todas las personas de un sector fueran iguales...), cuando podemos pensar en un sistema de tallaje de forma que cada persona eliga lo que esté más cerca de sus necesidades - dado que hacer algo a medida para cada caso es inviable. Esa sería la propuesta de los niveles de los sistemas como el que propone LEET Security.
  • También nos parece un problema la propuesta de establecer distintos niveles de garantías puesto que va a confundir a los usuarios finales. En nuestra opinión, lo importante no es decir si algo es seguro al 90, al 50 o al 25%... puesto que en cualquier caso no es cierto. Lo que es relevante es decirle al usuario al 90% si algo tiene un nivel de seguridad de 1, de 3 o de 5 sobre 5 (siendo 5, lo que se denomina el estado del arte).
  • Finalmente, echamos en falta la prometida regulación sobre la creación de un sistema de etiquetado de ciber seguridad. En nuestra opinión, más que crear una etiqueta de "hecho en Europa" como marca de seguridad, lo más oportuno sería pensar en algo más parecido de nuevo, al etiquetado del sistema de tallaje, de forma que se pudiera saber qué nivel de seguridad tiene el producto o servicio que se quiere utilizar.