Uno de los debates que se abrieron tras el impacto de wannacry en la industria y ciudadanía españolas, fue el de la conveniencia de prevenir públicamente a la población acerca del peligro que suponía una amenaza de tal magnitud, o de alertarla en alguna otra ocasión en la que las circunstancias así lo puedan requerir.
Sin embargo, la Directiva NIS, de 2016, ya preveía, en su artículo 16.7, que:
“Tras consultar al proveedor de servicios digitales afectado, la autoridad competente o el CSIRT al que se le haya notificado el incidente y, en su caso, las autoridades o el CSIRT de los demás Estados miembros afectados, podrán informar al público de determinados incidentes o exigir al proveedor de servicios digitales que lo haga, cuando el conocimiento del público sea necesario para evitar un incidente o hacer frente a un incidente en curso, o cuando la divulgación de un incidente redunde en interés público”.
El artículo 10 del RDL 12/2018, que transpone al ordenamiento jurídico español la Directiva NIS, es el que recoge el mandato para las autoridades competentes de informar, en su caso, al público sobre determinados incidentes, cuando la difusión de dicha información sea necesaria para evitar un incidente o gestionar uno que ya se haya producido.
Ese mismo precepto nos remite al artículo 26, donde se regula un principio clave en la ciberseguridad, como es el de la información y el de la alerta temprana. Y, sin perjuicio de la reserva al CSIRT de esta última obligación (art. 12.2.b), con carácter general reserva a la autoridad competente a que, cuando se considere necesario, informe directamente al público o a terceros sobre el incidente, coordinándose previamente con el operador de servicios esenciales o el proveedor de servicios digitales; o pueda exigir a estos a que informen al público o a terceros potencialmente interesados sobre los incidentes que cumplan alguna de las siguientes condiciones:
- cuando su conocimiento sea necesario para evitar nuevos incidentes.
- sea necesario gestionar uno que ya se haya producido, o
- cuando la divulgación de un incidente redunde en beneficio del interés público.
En una nota emitida el pasado 19 de octubre de 2022, el Ministerio del Interior informaba de que este, a través de la Dirección General de Protección Civil y Emergencias, está realizando las pruebas correspondientes para verificar el funcionamiento del protocolo ES-Alert, desplegado el pasado 21 de junio, para enviar alertas a la población que se encuentre en una zona afectada por emergencias o catástrofes inminentes (Public Warning System). Es un sistema también conocido como 112 inverso.
Se ha previsto un calendario de pruebas en las diferentes Comunidades Autónomas. Los centros de respuesta a emergencias, en coordinación con el Centro Nacional de Seguimiento y Coordinación Emergencias del Ministerio del Interior, enviarán mensajes simulados alertando de un riesgo de protección civil y un pitido, acompañado de vibración, en los teléfonos móviles alertará de la recepción del mensaje.
Con esta herramienta, España cumple lo dispuesto en la Directiva Europea 1972/2018 sobre el Código Europeo de Comunicaciones Electrónicas, que establece que los países miembros de la Unión Europea deben tener un sistema de estas características a partir de junio de 2022.
La nota no se refiere expresamente a ciberataques, aunque la citada Directiva 1972/2018 ya prevé, en su artículo 40.2, que la autoridad competente de que se trate podrá informar al público o exigir a los proveedores que lo hagan, en caso de estimar que la divulgación del incidente de seguridad reviste interés público.
Así las cosas, no parece haber elementos que nos permitan afirmar que no pueda utilizarse este nuevo sistema para alertar sobre ciberincidentes de alto impacto.