first
  
last
 
 
start
stop

>> Doble fondo

 

 

Tras la aprobación de la ECSN se entienden mejor algunos pasajes del proyecto de Ley General de Telecomunicaciones, que a fecha de cierre de esta edición se encuentra visto para sentencia para su aprobación por la Comisión de Industria, Energía y Turismo del Congreso de los Diputados, y posterior remisión al Senado.


O te desinfectas, o te corto el servicio
José de la Peña Múñoz
Director
Esta dirección electrónica esta protegida contra spambots. Es necesario activar Javascript para visualizarla

Hasta el momento, las disposiciones adicional octava, titulada “Colaboración de los registros de nombres de dominio establecidos en España en la lucha contra actividades ilícitas”, y adicional novena, “Gestión de incidentes de ciberseguridad que afecten a la red de Internet”, no se han modificado.

 

En la primera, y entre otros mensajes, se dice que “Las entidades de registro de nombres de dominio en España estarán obligadas a facilitar los datos relativos a los titulares de los nombres de dominio que soliciten las autoridades públicas para el ejercicio de sus competencias de inspección, control y sanción...”, y que “Tales datos se facilitarán así mismo, cuando sean necesarios para la investigación y mitigación de incidentes de ciberseguridad...”

 

En la segunda (Disposición adicional novena) se entra a saco en materia, y ya en su punto 1 podemos leer que “Los prestadores de servicios de la Sociedad de la Información, los registros de nombres de dominio y los agentes registradores que estén establecidos en España están obligados a prestar su colaboración con el CERT competente, en la resolución de incidentes de Ciberseguridad que afecten a la red de Internet y actuar bajo las recomendaciones de seguridad indicadas o que sean establecidas en los códigos de conducta que de esta ley se deriven”. Más adelante se apunta que el Gobierno pondrá en marcha un programa para impulsar un esquema de CPP, a fin de identificar y mitigar los ataques e incidentes de seguridad que afecten a Internet en España, y que la SETSI coordinará las actuaciones derivadas de los códigos de conducta que se elaboren.

 

Si seguimos internándonos en la prosa (se recomienda su lectura completa), llegamos al punto en el que se expresa que los prestadores deberán identificar a los usuarios afectados por los incidentes de ciberseguridad que les sean notificados por el CERT competente, e informarles de lo que pasa y de que tienen que solucionarlo (si les toca a ellos) para no causar perjuicios a terceros. Y si no lo hacen en plazo, los prestadores deberán, por requerimiento del CERT competente, aislar dicho equipo o servicio de la red. La cosa tiene su aquél, porque algunos incidentes suelen afectar a cientos cuando no a miles de clientes de proveedores de servicios. Y cuando se habla de clientes, se habla de negocio.

 

Esto plantea un debate apasionante en el mundo que parece se nos viene, caracterizado por la obligación de notificar incidentes (privacidad incluida): el de definir qué parte de la seguridad efectiva de servicios y productos debe venir incorporada de origen y cuál no. Y de esto segundo, cuál debe ser de pago y cuál pudiera (o no) facilitarse de forma gratuita o subvencionada.

 

Documento en PDF

Este sitio utiliza cookies propias y de terceros para facilitar la navegación.
Si continúa navegando consideramos que acepta su uso. Política de cookies