El funcionament dels mercats resulta greument afectat per les amenaces i atacs dels ciberdelinqüents i hacktivistes al ciberespai a través de l’accés il·lícit a sistemes informàtics, intercepció de dades, interferències en el funcionament d’un sistema informàtic, etc. Per oferir una resposta coordinada davant els atacs globals, neix la necessitat de crear estratègies conjuntes internacionals i nacionals entre els Estats, organitzacions internacionals, empreses operadores de serveis essencials i proveïdors de serveis digitals en la prevenció, detecció i gestió de riscos cibernètics, a fi de minorar o eliminar danys de diversa índole i greus pèrdues financeres.

La Directiva (UE) 2016/1148 del Parlament Europeu i del Consell, de 6 de juliol de 2016, (Directiva NIS) disposa l’establiment per part dels Estats de requisits en matèria de seguretat i notificació per als operadors de serveis essencials i per als proveïdors de serveis digitals així com, la creació d’un grup per a la cooperació estratègica i intercanvi d’informació entre els Estats, d’una xarxa d’equips de resposta a incidents “CSIRT” i de punts de contacte únics, és a dir, la creació de procediments d’intercanvi d’informació i d’actuació davant qualsevol incident.

A tal fi, els operadors de serveis essencials han de disposar de polítiques, sistemes de gestió de la seguretat i plans de seguretat cibernètica. Els operadors de serveis essencials i els proveïdors de serveis digitals hauran d’adoptar mesures tècniques i d’organització, adequades i proporcionades, per gestionar els riscos que es plantegin per a la seguretat de les xarxes i dels sistemes d’informació i, per prevenir i reduir al mínim l’impacte dels incidents.

En el sector del transport marítim i fluvial la Unió Europea disposa que els requisits i procediments de seguretat s’apliquessin a la totalitat d’operacions, incloses les dels sistemes de radi i telecomunicacions, els sistemes informàtics i les xarxes de les companyies, bucs, instal·lacions portuàries, ports i serveis de gestió del tràfic de bucs.

Sistemes operatius obsolets i no compatibles; programari antivirus obsolets o perduts i protecció contra *malware; configuracions de seguretat inadequades; xarxes i pràctiques ineficaces; administració i l’ús de comptes i contrasenyes d’administrador predeterminades poc segures; xarxes informàtiques de bord que manquen de mesures de protecció de límits i segmentació de xarxes; equips o sistemes crítics per a la seguretat; controls d’accés inadequats per a tercers, inclosos contractistes i proveïdors de serveis; informació crítica per al negoci, sensible a les dades i comercialment confidencial compartida amb altres agents o proveïdors de servei; sistemes de TU (tecnologia de la informació) i OT (tecnologia de l’operació), el programari i el manteniment subcontractats a proveïdors de serveis sense disposar del nivell de seguretat proveït pel proveïdor; visites a bucs de tercers que requereixen una connexió a dispositius a bord; l’ús de mitjans extraïbles per descarregar dades i / o realitzar altres tasques; sistemes en els quals el contractista supervisa i manté el sistema des d’un accés remot, etc., poden contribuir a la vulnerabilitat dels sistemes informàtics i operacionals.

El control de les operacions o de la cadena de subministrament perseguit en un ciberatac pot provocar danys i perjudicis per a la seguretat marítima, l’aviació, el comerç internacional, el control del tràfic aeri o marítim i les infraestructures portuàries o aèries.

En conseqüència, ha d’identificar-se els controls tècnics i de procediment existents per protegir la TU a bord i els sistemes OT a fi de detectar vulnerabilitats cibernètiques específiques de les operacions clau així com, aquelles que podrien comprometre la confidencialitat, la integritat i funcionament de l’equip, la xarxa i el sistema. Per a això, haurà de revisar-se la configuració de tots els dispositius, servidors, enrutadors i tecnologies de seguretat cibernètica, tota la documentació i els procediments de seguretat cibernètica disponibles per a TU, sistemes i dispositius. La política de seguretat ha de contemplar la formació, informació i conscienciació del personal promovent i impulsant les bones pràctiques.

A través del Reial decret-llei 12/2018, de 7 de setembre, de seguretat de les xarxes i sistemes d’informació, s’ha incorporat a l’ordenament jurídic espanyol la Directiva (NIS) en la qual s’indica que els operadors notificaran a l’autoritat competent, a través del CSIRT de referència, els incidents que puguin tenir efectes perturbadors significatius en els serveis així com, aquells successos o incidències que puguin afectar a pesar que no hagin tingut un efecte advers real i sense perjudici, del deure denunciar aquells fets que siguin constitutius de delicte.

En cas d’incident ha d’iniciar-se una recerca per determinar les seves causes i conseqüències a fi de dur a terme les accions correctives i prendre mesures de protecció.

El Reial decret-Llei 12/2018 estableix un règim sancionador que preveu sancions de fins a un milió d’euros si bé, és favorable al fet que s’esmenin les deficiències a fi d’assegurar la fiabilitat i seguretat de les activitats econòmiques.

Àrea de Dret Marítim, Transport i Logística Comerç Internacional i Duanes de IMBGrup