La nueva legislación fue aprobada con votos de la gran coalición integrada por la CDU/CSU (Unión Demócrata Cristiana/Unión Social cristiana) de la canciller federal Ángela Merkel y los socialdemócratas (SPD) y contempla que los operadores de infraestructura crítica deben informar de manera inmediata al gobierno federal de ataques en sus computadoras y redes.
El Bundestag, la cámara baja del parlamento alemán, aprobó hoy una nueva ley de seguridad en tecnologías de la información, en medio del escándalo por el mayor ataque cibernético registrado contra una autoridad alemana.
La nueva legislación fue aprobada con votos de la gran coalición integrada por la CDU/CSU (Unión Demócrata Cristiana/Unión Social cristiana) de la canciller federal Ángela Merkel y los socialdemócratas (SPD) y contempla que los operadores de infraestructura crítica deben informar de manera inmediata al gobierno federal de ataques en sus computadoras y redes.
Concretamente, deben dar parte a la Oficina Federal para la Seguridad en Tecnología de la Información (BSI, por su sigla en alemán).
El BSI deberá a continuación valorar la información recibida y preparar un informe sobre la situación para alertar a otros operadores. Además, las empresas deben cumplir en el futuro con estándares mínimos de seguridad de tecnología de la información.
Para la formulación de estos estándares y su puesta en marcha, la ley otorga a las compañías un período de dos años.
Asociaciones y empresas muestran desde hace tiempo su disconformidad con la obligación de informar al gobierno por miedo a ver afectada su reputación en caso de que sus vulnerabilidades se hagan públicas.
De hecho, un estudio publicado esta semana en Estados Unidos concluyó que las empresas temen más que se haga pública la información de que han sido víctimas de un ataque, que el hecho en sí.
“Sabemos que es vergonzoso”, dijo el Ministro del Interior alemán, Thomas de Maiziére (CDU) al comienzo del debate.
Por eso, entiende que será posible lograr que las compañías informen del daño sufrido de forma anónima al BSI, a menos que el accidente pueda conducir a un grave peligro a la empresa y convertirse en un alto riesgo para toda la industria.
Por otra parte, las empresas de telecomunicaciones estarán obligadas a avisar a los usuarios afectados por incidentes tales como la pérdida de datos personales.
El objetivo de la nueva ley es, señaló el Ministro alemán de Maiziére, evitar que el daño de uno se convierta en el daño de muchos.
Desde las filas de la oposición, se dejaron escuchar las primeras críticas. Para el partido La Izquierda, en la ley hay muchos conceptos que no están definidos, como por ejemplo, qué se entiende por “infraestructura crítica”.
“Nos referimos a la energía, el agua, la salud, las telecomunicaciones, la banca y los seguros”, señaló de Maiziére apuntando que era un concepto que había citado al principio de su comparencencia.
Fue entonces cuando desde la oposición preguntaron aseguraron que la ley no especifica qué tamaño debe tener, por ejemplo, una empresa municipal para que sea considerada como una “infraestructura crítica”.
En opinión de la oposición, la Oficina Federal Criminal, la Oficina para la Protección de la Constitución y el Servicio Federal de Inteligencia deberían contar con más recursos humanos y financieros porque, con la nueva ley, se incrementan notablemente sus competencias.
Se estima que al menos unas dos mil empresas se vean afectadas por esta nueva ley.
La nueva legislación fue aprobada con votos de la gran coalición integrada por la CDU/CSU (Unión Demócrata Cristiana/Unión Social cristiana) de la canciller federal Ángela Merkel y los socialdemócratas (SPD) y contempla que los operadores de infraestructura crítica deben informar de manera inmediata al gobierno federal de ataques en sus computadoras y redes.
Concretamente, deben dar parte a la Oficina Federal para la Seguridad en Tecnología de la Información (BSI, por su sigla en alemán).
El BSI deberá a continuación valorar la información recibida y preparar un informe sobre la situación para alertar a otros operadores. Además, las empresas deben cumplir en el futuro con estándares mínimos de seguridad de tecnología de la información.
Para la formulación de estos estándares y su puesta en marcha, la ley otorga a las compañías un período de dos años.
Asociaciones y empresas muestran desde hace tiempo su disconformidad con la obligación de informar al gobierno por miedo a ver afectada su reputación en caso de que sus vulnerabilidades se hagan públicas.
De hecho, un estudio publicado esta semana en Estados Unidos concluyó que las empresas temen más que se haga pública la información de que han sido víctimas de un ataque, que el hecho en sí.
“Sabemos que es vergonzoso”, dijo el Ministro del Interior alemán, Thomas de Maiziére (CDU) al comienzo del debate.
Por eso, entiende que será posible lograr que las compañías informen del daño sufrido de forma anónima al BSI, a menos que el accidente pueda conducir a un grave peligro a la empresa y convertirse en un alto riesgo para toda la industria.
Por otra parte, las empresas de telecomunicaciones estarán obligadas a avisar a los usuarios afectados por incidentes tales como la pérdida de datos personales.
El objetivo de la nueva ley es, señaló el Ministro alemán de Maiziére, evitar que el daño de uno se convierta en el daño de muchos.
Desde las filas de la oposición, se dejaron escuchar las primeras críticas. Para el partido La Izquierda, en la ley hay muchos conceptos que no están definidos, como por ejemplo, qué se entiende por “infraestructura crítica”.
“Nos referimos a la energía, el agua, la salud, las telecomunicaciones, la banca y los seguros”, señaló de Maiziére apuntando que era un concepto que había citado al principio de su comparencencia.
Fue entonces cuando desde la oposición preguntaron aseguraron que la ley no especifica qué tamaño debe tener, por ejemplo, una empresa municipal para que sea considerada como una “infraestructura crítica”.
En opinión de la oposición, la Oficina Federal Criminal, la Oficina para la Protección de la Constitución y el Servicio Federal de Inteligencia deberían contar con más recursos humanos y financieros porque, con la nueva ley, se incrementan notablemente sus competencias.
Se estima que al menos unas dos mil empresas se vean afectadas por esta nueva ley.
No hay comentarios:
Publicar un comentario