La ciberseguridad también se verá afectada en las relaciones Reino Unido-Unión Europea Post Brexit. El presente artículo es continuación del titulado Brexit y la Protección de Datos, publicado en este mismo medio.
En 2018 el Reino Unido hizo pública una propuesta en relación con la aplicación del Reglamento NIS (Information Systems Regulations) dirigida a aquellos proveedores de servicios digitales (PSD) no británicos al objeto de que tales entidades, establecidas dentro y fuera del Reino Unido y una vez consumada la salida de la UE, conocieran las implicaciones de tal salida en materia de ciberseguridad.
El Reglamento NIS británico de 2018 traspone a su ordenamiento jurídico la denominada Directiva NIS de la UE, que tenía por objeto la creación de normas comunes en la UE relativas a garantizar la seguridad de las redes y los sistemas de información de los actores más significativos para el normal desenvolvimiento de los Estados.
Esta norma británica –coincidente en su ámbito de aplicación con la Directiva NIS– iba destinada a los a los “proveedores de servicios digitales”, es decir, páginas web, servicios económicos ventas on-line, buscadores y servicios en la nube; y a los “operadores de servicios esenciales”, que vendrían a ser los que pueden tratar infraestructuras críticas, encuadrados principalmente en los sectores de la sanidad, energía, el transporte, el agua y las herramientas digitales de seguridad.
Lo cierto es es que, por la puerta de atrás seguirá vigente en el Reino Unido el Reglamento NIS de 2018. Esto implica que, hasta que esta norma sea derogada, los requisitos esenciales de la Directiva NIS seguirán siendo de plena aplicación en Reino Unido; pero no las modificaciones que ésta ha sufrido, sobre todo a partir de la Directiva 2019/1937 que crea un procedimiento de control y de resolución de conflictos para protección de datos y ciberseguridad.
Como es sabido, la Directiva NIS exige que los PSD (Proveedores de Servicios Digitales) no establecidos en la UE pero que ofrezcan sus servicios a la UE deben designar un representante en un Estado miembro de la UE en el que el proveedor ofrezca sus servicios (art. 18.2). Así pues, una vez designado un representante en la UE, el PSD inglés, deberá cumplir, además, con la legislación nacional que traspone la Directiva NIS en el Estado miembro de la UE en el que esté establecido dicho representante. El representante, actuará en nombre del PSD y como enlace con cada una de las autoridades de los países donde ofrezca el PSD sus servicios.
En la práctica, esta circunstancia provocará que los PSD establecidos en el Reino Unido deberán cumplir preceptos del Reglamento NIS británico de 2018 y, simultáneamente, cada una de las legislación nacionales de cada uno de los países de la Unión donde ofrezca sus servicios.
Por su parte, en relación con los PSD no establecidos en el Reino Unido tras el Brexit, el Gobierno británico –que, a tales efectos, deberá aplicar la legislación que modifica el Reglamento NIS de 2018– ha manifestado su intención de exigir que tales proveedores, cuando ofrezcan sus servicios en el Reino Unido, designen asimismo a un representante, al igual que en temas de Protección de Datos, que asegurarán que el PSD cumpla la legislación británica, también.
Puede serlo cualquier persona física o jurídica establecida en el Reino Unido. Debe ponerse a disposición de los departamentos de información (Information Commissioner’s Office, ICO), responsables de regular los PSD, y de comunicaciones (Government Communications Headquarters, GCHQ), responsables de garantizar el cumplimiento del Reglamento NIS de 2018.
A partir del 1 de Enero de 2021 empieza a transcurrir el plazo de tres meses para la designación en UK de dicho representante, sin perjuicio de que a partir de esa fecha, las autoridades inglesas puedan ya “meter paquetes” a los PSD que no cumplan con su normativa.
Lo cierto es, que “los papeles” del Brexit tienen escasas precisiones sobre la ciberseguridad y sólo dedica unas pocas acciones específicas dentro del epígrafe IV (“Thematic Cooperation”) de la parte III (“Security Partnership”) del documento. Ambas partes mantienen la cooperación, pero sobre una base voluntaria, incluso en un asunto de capital importancia para la ciberseguridad europea como es el intercambio de información sobre incidentes.
La misma voluntad de colaborar pero sin compromisos firmes se formula en relación con la participación del Reino Unido en la Agencia Europea de Ciberseguridad (ENISA, por sus siglas en inglés), en el Grupo de Cooperación de la Directiva de Seguridad en Redes y Sistemas de Información (NIS) y en la red europea de Equipos de Respuesta a Incidentes (CERT-EU).
De cara al futuro, ambas partes se comprometen a seguir dialogando y colaborando en la gobernanza internacional del ciberespacio.
Es decir, de momento, en ciberseguridad, Reino Unido será tierra ignota.
