Así avanza el enfoque común de la UE para la divulgación coordinada de vulnerabilidades
- Vulnerabilidades
Con la nueva Directiva sobre medidas para un elevado nivel común de ciberseguridad en toda la Unión (NIS2), adoptada el 16 de enero de 2023, los Estados miembros tendrán que adoptar y publicar una política coordinada de divulgación de vulnerabilidades antes del 17 de octubre de 2024.
|
Recomendados.... » ¿Cómo potenciar las estrategias de seguridad y ciber resiliencia de tu compañía? Webinar (16 marzo)
|
Dentro de las acciones para reforzar la ciberseguridad de la Unión Europea, la Directiva NIS2 supone un gran paso en lo que respecta a la divulgación de vulnerabilidades. A partir de octubre del próximo año, los países miembros tendrán que adoptar y publicar una política coordinada de divulgación de vulnerabilidades. Además, otros desarrollos legislativos en curso también abordarán este tema. Por ejemplo, la propuesta de Ley de Ciberresiliencia incluirá requisitos de gestión de vulnerabilidades.
La Agencia de la Unión Europea para la Ciberseguridad (ENISA) acaba de publicar un informe que examina las expectativas tanto de la industria como de los Estados miembros en relación con el objetivo de la NIS2. También analiza los retos jurídicos, de colaboración y técnicos que plantean estas iniciativas para lograr un enfoque armonizado en la UE.
La ENISA señala en el informe que una política europea de Divulgación de Vulnerabilidades Coordinadas (CVD, en su acrónimo inglés) va a animar a las organizaciones a establecer como prioridad la gestión de vulnerabilidades y las prácticas de seguridad y, a la vez, contribuirá a que las autoridades políticas tengan en cuenta las iniciativas y normas existentes en torno a la CVD.
Además, señala que es necesario reforzar la cooperación global entre las distintas legislaciones, así como la cooperación entre los agentes del sector y el sector público, para evitar los silos.
Para los investigadores de seguridad, la armonización supondrá un incentivo pero el informe observa obstáculos. En este sentido, los intereses de reputación son un motor clave para los investigadores, cuya prueba pública del descubrimiento y divulgación de vulnerabilidades aumenta su credibilidad profesional y garantiza así la legitimidad y fiabilidad de su trabajo. Sin embargo, la ENISA advierte que un marco CVD vago o inexistente puede generar inseguridad jurídica, lo que dificultaría o incluso impediría la notificación de vulnerabilidades.
