Por Redacción CAMAE
@CamaraMaritimaE
La importancia de la seguridad cibernética para el sector del transporte marítimo se puso de manifiesto en junio de 2017 cuando el ataque de malware «NotPetya» golpeó a organizaciones en más de 60 países en todo el mundo, incluidas muchas organizaciones prominentes dentro del sector del transporte marítimo.
Incidentes como este demuestran la necesidad de mejorar la seguridad de las redes y los sistemas de información en todo el sector del transporte marítimo. La Directiva sobre seguridad de las redes y los sistemas de información (UE 2016/1148) (la Directiva cibernética), que se transpuso a la legislación del Reino Unido el 9 de mayo de 2018, coloca la ciberseguridad en una base legislativa.
Se aplica a las organizaciones denominadas ‘Operadores de Servicios Esenciales’ (OES) y exige que dichas organizaciones demuestren que han implementado medidas de seguridad cibernética ‘apropiadas y proporcionadas’ para prevenir, o al menos aliviar, el daño potencial de los incidentes de ciberseguridad.
La última publicación del Gobierno del Reino Unido sobre la aplicación de la Directiva cibernética indica que OES dentro del sector del transporte marítimo se aplicará a las autoridades portuarias, los puertos o los operadores portuarios que tengan un número de pasajeros anual superior a 10 millones o que representen más del 15% del Reino Unido, tráfico ro-ro, 15% del tráfico lo-lo del Reino Unido, 10% del volumen líquido total del Reino Unido; o el 20% del combustible de biomasa total del Reino Unido.
La Directiva Cibernética también afectará a los transportistas marítimos que manejan más del 30% de la carga en cualquier puerto del Reino Unido que se encuentre dentro de los parámetros anteriores, y 5 millones de toneladas de carga anual total en los puertos del Reino Unido en general.
Si bien los identificados como OES en virtud de estos umbrales deberán cumplir con los requisitos de la Directiva cibernética que se resume a continuación, es importante señalar que las empresas que suministran o contratan con OES también pueden verse afectadas debido a la naturaleza altamente interconectada de la sector.
Requisitos de conformidad
Se requerirá que OES dentro del sector del transporte marítimo cumpla con un conjunto de catorce requisitos de seguridad basados en los siguientes cuatro objetivos definidos por el Centro Nacional de Seguridad Cibernética:
Gestión del riesgo de seguridad: OES deberá asegurarse de que existan estructuras organizativas, políticas y procesos adecuados para comprender, evaluar y gestionar sistemáticamente los riesgos de seguridad para la red y los sistemas de información que soportan servicios esenciales en todos sus activos y cadenas de suministro.
Protección contra el ataque cibernético: este objetivo requiere la implementación de medidas de seguridad proporcionadas para proteger los servicios y sistemas esenciales del ciberataque. Los ejemplos incluyen la gestión del acceso a los sistemas pertinentes, la protección de los datos y la capacitación adecuada del personal.
Detección de eventos de seguridad cibernética: OES debe demostrar que tiene la capacidad de garantizar que las defensas de seguridad sigan siendo efectivas y detectar eventos de seguridad cibernética que afecten o puedan afectar los servicios esenciales.
Minimizar el impacto de los incidentes de ciberseguridad: este objetivo se centra en la capacidad de una organización para minimizar el impacto de un incidente de ciberseguridad en la prestación de servicios esenciales. Requiere que OES tenga un sólido plan de respuesta a incidentes para cubrir todos los incidentes potenciales relevantes. Además, cualquier incidente que tenga un impacto «significativo» en la continuidad de los servicios esenciales debe ser informado formalmente.
Supervisión y cumplimiento
Una vez que la Directiva Cibernética sea efectiva, cada ‘Autoridad Competente’ tendrá la responsabilidad de la supervisión de su sector. La autoridad competente para el sector del transporte marítimo será el Secretario de Estado de Transportes y, por extensión, el Departamento de Transportes.
Las responsabilidades de la Autoridad Competente incluirán la designación de OES; monitorear la aplicación de la Directiva Cyber; la publicación de orientación (incluidos los umbrales de notificación de incidentes); y la aplicación y la imposición de sanciones.
La autoridad competente tendrá derecho a imponer sanciones financieras (hasta un máximo de £ 17 millones) en OES que contravengan la Directiva cibernética. Sin embargo, el Gobierno del Reino Unido desea insistir en que la pena máxima debe considerarse un último recurso; de hecho, la última orientación establece que la autoridad competente adoptará un enfoque razonable y proporcionado para hacer cumplir la ley.
Fuente: Port Strategy
