Modificaciones a la LSSI en la Ley 9/2014

Nuevos instrumentos legales para aumentar la ciberseguridad; Modificaciones a la LSSI en la Ley 9/2014

La nueva Ley 9/2014, de 9 de mayo, General de Telecomunicaciones en su Disposición final segunda, modifica la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico.

Esta reforma recoge algunos cambios que son esenciales para la seguridad en el ciberespacio porque es la primera vez que esta ley utiliza el término Ciberseguridad y reconoce el papel fundamental que los Equipos de Respuesta de Incidentes de Seguridad (CERT) desempeñan a la hora de reducir el impacto de los ciberataques y ciberamenazas.

La reforma considera el intercambio de información como la piedra angular sobre la que debe girar la Ciberseguridad.

El intercambio de información sobre amenazas e incidentes de seguridad es una de las principales y más eficientes prácticas de colaboración utilizadas en múltiples ámbitos e incluso en la gestión de incidentes de seguridad cibernéticos entre los CERTs no sólo a nivel nacional sino europeo e internacional. Sin embargo, los CERTs venían reclamando mayor seguridad jurídica y un fortalecimiento de la cooperación entre los distintos actores de la red en la lucha e investigación de las ciberamenazas. Así, para realizar su trabajo, los CERTs requieren recabar información de diferentes agentes implicados en el ciberespacio, como son los prestadores de servicios de sociedad de la información, otros Equipos de Incidentes de Seguridad y los propios usuarios que son los que, en último extremo, sufren los incidentes de seguridad.

La nueva regulación aporta los siguientes instrumentos legales en la investigación de incidentes de seguridad:

Obligación de colaboración con las autoridades competentes para la aportación de las evidencias técnicas, información o datos necesarios para la persecución de actividades ilícitas y/o derivados de incidentes de ciberseguridad por parte de las entidades de registro de nombre de dominios establecidas en España, los CERTs, y los prestadores de servicios establecidos en España.
Posibilidad de aislamiento de un equipo o servicio de la red infectado Los usuarios de servicios de la sociedad de la información deberán colaborar en la resolución de incidentes de ciberseguridad.

La Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información (SETSI) será la encargada de impulsar en un plazo de seis meses un programa que avance en un esquema de cooperación público-privada con el fin de identificar y mitigar los ataques e incidentes de ciberseguridad que afecten a la red de internet en España mediante códigos de conducta, en línea con la Ley 34/2002 que consideraba que son un instrumento de autorregulación especialmente apto ya que hace coparticipes para su desarrollo a las entidades del sector.

La nueva disposición recoge el contenido sobre el que deben versar los códigos de conducta:

Normas, medidas y recomendaciones a implementar que permitan garantizar una gestión eficiente y eficaz de dichos incidentes de ciberseguridad.
Régimen de colaboración y condiciones de adhesión e implementación
Procedimientos de análisis y revisión de las iniciativas resultantes

Los principales Agentes en la intervención de un incidente de seguridad son: