Enhorabuena: ahora son «infraestructura crítica». Mala noticia para su presupuesto.
El país por fin pone en marcha un sistema unificado de seguridad digital.
Alemania refuerza la protección de su infraestructura digital y física. Tras un breve debate el Bundestag aprobó una ley que adapta la legislación alemana a la directiva europea NIS-2 y establece normas generales para la gestión de la seguridad de la información en todos los ministerios federales. El documento fue apoyado por CDU/CSU, AfD y SPD; Los Verdes votaron en contra y La Izquierda prefirió no tomar partido.
NIS-2 es una actualización a gran escala de las normas de ciberseguridad en la Unión Europea. La directiva exige a los países del bloque endurecer los requisitos para empresas e instituciones consideradas críticas: desde la energía y el transporte hasta las telecomunicaciones, la medicina y los servicios públicos. El objetivo principal es que todos los Estados de la UE trabajen con estándares aproximadamente iguales y sean capaces de resistir ciberataques graves sin caos ni interrupciones prolongadas.
La ley aprobada en Alemania amplía el número de empresas que ahora deben cumplir estas normas. Muchas de ellas antes no estaban sujetas a supervisión y por primera vez tendrán que gestionar formalmente los riesgos, llevar un registro técnico de incidentes y notificar los ciberataques según un procedimiento claro. El sistema alemán de notificación también cambia: en lugar de una única notificación se introduce un esquema de tres etapas: un aviso urgente del incidente, datos intermedios y un informe final. Este modelo fue desarrollado en la UE y debería acelerar la reacción ante ataques, incluso si todavía no hay detalles del incidente.
La Oficina Federal para la Seguridad en la Tecnología de la Información (BSI) recibirá un conjunto más amplio de herramientas. Se trata de inspecciones, evaluación de la calidad de la protección y requisitos para subsanar las deficiencias detectadas. Dentro de los ministerios gubernamentales aparecerá por primera vez un punto único de coordinación: el puesto de CISO Bund. Es un especialista que debe establecer normas comunes, hacer que el trabajo de los ministerios sea más coherente y ayudarles a implantar un sistema de gestión de riesgos.
El gobierno alemán subraya que la amenaza a la infraestructura crítica se ha convertido en uno de los riesgos clave para toda Europa. La Comisión Europea la considera uno de los desafíos más peligrosos, al mismo nivel que las catástrofes climáticas y la inestabilidad geopolítica. Hasta ahora Alemania se apoyaba en un conjunto de normas y recomendaciones dispersas, que no siempre proporcionaban el mismo nivel de protección en los distintos ministerios. Las nuevas reglas deben eliminar esa diferencia y hacer la protección más predecible y sistémica.
Paralelamente los diputados también han empezado a debatir una iniciativa de Los Verdes, en la que se propone crear una ley general independiente sobre la protección de la infraestructura crítica. Según su idea debe reemplazar el complejo conjunto de normas vigentes y unir la seguridad física y digital bajo un único «paraguas» jurídico. Ese enfoque simplificaría la determinación de qué se considera un objeto crítico, introduciría estándares mínimos para todo el país y crearía un sistema unificado de monitorización de las vulneraciones.
Los Verdes prestan especial atención a las pequeñas y medianas empresas. Muchas de ellas antes no estaban obligadas a cumplir los requisitos para infraestructuras críticas, y ahora corren el riesgo de enfrentarse a burocracia y a requisitos técnicos complejos. Por eso el partido propone crear un único punto de contacto de supervisión para empresas, al que se pueda recurrir por todas las cuestiones de seguridad, así como un sistema de ayuda y asesoramiento para que las empresas no queden solas ante los nuevos requisitos.
Tanto la ley aprobada como la iniciativa de la oposición muestran que Alemania intenta construir un sistema integral de protección en el que las estructuras estatales, las empresas privadas y las regiones actúen según reglas únicas y claras. Ante el aumento del número de ataques el país necesita que la protección de los objetos críticos deje de depender del sector o de un ministerio concreto y se convierta en un estándar nacional.