Un nuevo estudio dirigido por académicos del Cloud Legal Project de la Universidad Queen Mary de Londres ha descubierto que los estándares actuales de ciberseguridad establecidos por la Unión Europea, conocida como la Directiva NIS, no van lo suficientemente lejos y podrían verse socavados.

El Reglamento NIS 2018, que implementan la Directiva NIS en el Reino Unido, tener como objetivo garantizar que los operadores de servicios esenciales estén protegidos contra interrupciones, exigiéndoles que tomen medidas "apropiadas y proporcionadas" en lo que respecta a la ciberseguridad.

El cumplimiento es subjetivo

La investigación, que se centró en aeropuertos como Heathrow y aerolíneas como British Airways, encontró que para cumplir con el reglamento, los operadores de servicios deben identificar, evaluar, y luego abordar los riesgos cibernéticos que enfrentan. Sin embargo, tal gestión de riesgos implica inevitablemente un nivel de juicio subjetivo y compensaciones.

Según los investigadores, los requisitos de la Directiva son demasiado vagos y abiertos a interpretación, lo que significa que algunos aeropuertos y aerolíneas solo pueden implementar aquellas medidas de seguridad que consideren que son de su interés comercial. Los proveedores de servicios podrían incluso abusar de su discreción al participar en el 'cumplimiento en papel', creando una gran cantidad de documentación de seguridad para mostrar a los reguladores, sin cambiar significativamente su enfoque, anteponiendo efectivamente las ganancias a la ciberseguridad.

Los requisitos vagos son difíciles de medir

La investigación también encontró que la naturaleza vaga de la Directiva NIS puede dificultar a los reguladores, como la Autoridad de Aviación Civil, para vigilar eficazmente si se cumplen o no los requisitos de seguridad. El estudio se produce después de varios fallos de TI de alto perfil en la industria de las aerolíneas.

Dave Michels, Investigadora del Centro de Estudios de Derecho Comercial Queen Mary, y el coautor del documento dijo:"Los reguladores deberán monitorear cuidadosamente los aeropuertos y las aerolíneas y desafiar sus enfoques según sea necesario. Esto requerirá que contraten expertos en ciberseguridad para hacer esto de manera efectiva".

Ian Walden, El profesor de Derecho de la Información y las Comunicaciones y coautor del estudio añadió:"El Brexit puede complicar aún más las cosas debido a la salida del Reino Unido de la Agencia Europea de Ciberseguridad". que juega un papel importante al proporcionar pautas para el cumplimiento y compartir las mejores prácticas ".