Brexit i Ciberseguretat
La ciberseguretat també es veurà afectada en les relacions Regne Unit-Unió Europea Post Brexit. El present article és continuació de l’titulat Brexit i la Protecció de Dades, publicat en aquest mateix mitjà.
En 2018 el Regne Unit va fer pública una proposta en relació amb l’aplicació de l’Reglament NIS (Information Systems Regulations) dirigida a aquells proveïdors de serveis digitals (PSD) no britànics a l’objecte de que aquestes entitats, establertes dins i fora del Regne Unit i una vegada consumada la sortida de la UE, coneguessin les implicacions de tal sortida en matèria de ciberseguretat.
El Reglament NIS britànic de 2018 transposa al seu ordenament jurídic la denominada Directiva NIS de la UE, que tenia per objecte la creació de normes comunes a la UE relatives a garantir la seguretat de les xarxes i els sistemes d’informació dels actors més significatius per el normal desenvolupament dels estats.
Aquesta norma britànica -coincident en el seu àmbit d’aplicació amb la Directiva NIS- anava destinada als als “proveïdors de serveis digitals”, és a dir, pàgines web, serveis econòmics vendes on-line, cercadors i serveis en el núvol; i als “operadors de serveis essencials”, que vindrien a ser els que poden tractar infraestructures crítiques, enquadrats principalment en els sectors de la sanitat, energia, el transport, l’aigua i les eines digitals de seguretat .
La veritat és és que, per la porta de darrere seguirà vigent al Regne Unit el Reglament NIS de 2018. Això implica que, fins que aquesta norma sigui derogada, els requisits essencials de la Directiva NIS seguiran sent de plena aplicació al Regne Unit; però no les modificacions que aquesta ha patit, sobretot a partir de la Directiva 2019/1937 que crea un procediment de control i de resolució de conflictes per a protecció de dades i ciberseguretat.
Com és sabut, la Directiva NIS exigeix que els PSD (Proveïdors de Serveis Digitals) no establerts a la UE però que ofereixin els seus serveis a la UE han de designar un representant en un Estat membre de la UE en el qual el proveïdor ofereixi els seus serveis ( art. 18.2). Així doncs, un cop designat un representant a la UE, el PSD anglès, haurà de complir, a més, amb la legislació nacional que transposa la Directiva NIS a l’Estat membre de la UE en el qual estigui establert l’esmentat representant. El representant, actuarà en nom de l’PSD i com a enllaç amb cadascuna de les autoritats dels països on ofereixi el PSD seus serveis.
A la pràctica, aquesta circumstància provocarà que els PSD establerts al Regne Unit han de complir preceptes de l’Reglament NIS britànic de 2018 i, simultàniament, cadascuna de les legislació nacionals de cada un dels països de la Unió on ofereixi els seus serveis.
Per la seva banda, en relació amb els PSD no establerts al Regne Unit després de l’Brexit, el Govern britànic -que, a aquests efectes, haurà d’aplicar la legislació que modifica el Reglament NIS de 2018- ha manifestat la seva intenció d’exigir que aquests proveïdors , quan ofereixin els seus serveis al Regne Unit, designin així mateix a un representant, a l’igual que en temes de Protecció de Dades, que asseguraran que el PSD compleixi la legislació britànica, també.
Pot ser-ho qualsevol persona física o jurídica establerta al Regne Unit. Ha de posar-se a disposició dels departaments d’informació (Information Commissioner ‘s Office, ICO), responsables de regular els PSD, i de comunicacions (Government Communications Headquarters, GCHQ), responsables de garantir el compliment de l’Reglament NIS de 2018.
A partir d’l’1 de gener de 2021 comença a transcórrer el termini de tres mesos per a la designació a UK de l’esmentat representant, sense perjudici que a partir d’aquesta data, les autoritats angleses puguin ja “ficar paquets” als PSD que no compleixin amb la seva normativa.
La veritat és, que “els papers” del Brexit tenen escasses precisions sobre la ciberseguretat i només dedica unes poques accions específiques dins de l’epígraf IV ( “Thematic Cooperation”) de la part III ( “Security Partnership”) de el document. Les dues parts mantenen la cooperació, però sobre una base voluntària, fins i tot en un assumpte de cabdal importància per a la ciberseguretat europea com és l’intercanvi d’informació sobre incidents.
La mateixa voluntat de col·laborar però sense compromisos ferms es formula en relació amb la participació del Regne Unit a l’Agència Europea de Ciberseguretat (ENISA, per les sigles en anglès), en el Grup de Cooperació de la Directiva de Seguretat en Xarxes i Sistemes de informació (NIS) ia la xarxa europea d’Equips de Resposta a Incidents (CERT-EU).
De cara a el futur, ambdues parts es comprometen a seguir dialogant i col·laborant en la governança internacional de ‘ciberespai.
És a dir, de moment, en ciberseguretat, Regne Unit serà terra ignota.
Article de Josep Jover publicat a Diario 16.