¿Te han hackeado? Cuéntalo: Israel quiere obligar a las empresas a hacer públicos sus fallos digitales.
Los legisladores decidieron que la amarga verdad es mucho más útil que la dulce ignorancia.
Israel se prepara para uno de los cambios más serios en materia de seguridad digital en toda la historia del país. Las autoridades presentaron un proyecto de ley que podría sentar las bases de la primera normativa cibernética permanente y cambiar los principios de protección del Estado frente a las amenazas digitales.
El texto del documento se publicó a finales de la semana, y su examen podría comenzar en los comités de la Knéset en breve. En caso de aprobación, la ley será la primera ley cibernética permanente del país. Hasta entonces, la Autoridad Nacional de Ciberseguridad de Israel operó durante casi diez años basándose en decisiones gubernamentales y reglamentos temporales de emergencia, lo que limitaba sus facultades y hacía que el sistema de respuesta fuera menos resiliente en comparación con otros países occidentales.
Una de las cuestiones clave del proyecto de ley fue la regulación de las obligaciones de notificación sobre ciberataques. Se trata de cuándo y en qué alcance las empresas privadas y las entidades estatales deben informar sobre brechas a la autoridad de ciberseguridad, así como notificar a clientes y socios. El modelo propuesto busca encontrar un equilibrio entre la reacción rápida ante las amenazas y la protección del secreto comercial y los datos personales.
Si un ataque puede causar un daño grave al país, las organizaciones de carácter crítico estarán obligadas a transmitir la información sobre el mismo de forma inmediata y en tiempo real. Este enfoque se explica por el aumento del número de incidentes y porque, tras el inicio de la guerra entre Israel y Hamás, el país pasó a ocupar el tercer lugar del mundo en número de ciberataques. Al mismo tiempo, los requisitos no afectarán a gran parte de las pequeñas y medianas empresas que no estén vinculadas a la infraestructura crítica. Según estimaciones, entre 400 y 600 organizaciones podrían quedar sujetas a las nuevas normas.
La ley también introduce un mecanismo de control sobre la actividad de la autoridad de ciberseguridad. Esta rendirá cuentas anualmente ante el fiscal general y ante el comité parlamentario de Asuntos Exteriores y Defensa sobre los datos recibidos y los ciberincidentes, lo que debería reducir los riesgos de abusos.
Los intentos por aprobar una ley similar llevan casi diez años. El exjefe de la autoridad de ciberseguridad, Gabi Portnoy, atribuía los retrasos a la necesidad de crear no un documento sectorial, sino una ley nacional integral que abarque todos los ministerios y las fuerzas de seguridad. Su sucesor, Yossi Karadi, subraya que el país está bajo una presión digital constante por parte de sus adversarios, y la nueva ley permitirá bloquear ataques más rápidamente y establecer normas obligatorias de ciberseguridad para las organizaciones clave, lo que es importante para la resiliencia de la economía y la seguridad de la sociedad.