Las grandes compañías de Internet también necesitarán notificar a las agencias nacionales acerca de incidentes serios. Las nuevas reglas de ciberseguridad fueron presentadas el jueves pasado, después de semanas de especulación y borradores filtrados.

La parte principal de la Comisión de Estrategias de Ciberseguridad Europea es una propuesta de la Dirección de Redes y Seguridad de la Información. Si es aprobada por el Parlamento Europeo y los estados que lo conforman, se convertirá en una Ley para la Unión Europea.

Los esfuerzos voluntarios realizados previamente fallaron "dejando muchas lagunas en nuestro conjunto”, de acuerdo con un documento de la comisión. Regularmente solo las compañías de telecom necesitan reportar incidentes importantes de seguridad. La nueva Directiva extiende esto a las empresas grandes de Internet, tales como proveedores de la nube, redes sociales, plataformas de comercio electrónico y herramientas de búsqueda, sector bancario e infraestructuras críticas de servicios como energía, transporte y salud; también administración pública.

Todas estas organizaciones deberán reportar cualquier reporte de fallas en seguridad que “tengan un impacto significativo en la seguridad de servicios núcleo” a alguna autoridad nacional. Esta autoridad “requerirá que el público sea informado”,  pero un anuncio público no es necesario.

“Al final, la apertura y la  transparencia acerca de tu experiencia resultará una mejora en el medio” digo Neelie Kroes, Comisionada de Digital Agenda.

Kroes arremetió contra gerentes de negocios que negaron ataques sucedidos porque se preocupaban por la reputación. El secreto no es la forma correcta, dijo. Las estadísticas muestran que en 2012 el 93% de las grandes corporaciones fueron víctimas de ataques cibernéticos. “Es prácticamente normal”, así que no hay razón para mantenerlo en secreto, dijo la Comisionada.