Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Recorrido legislativo europeo ciberseguridad aviación civil

Fecha de publicación 25/03/2024
Autor
Alejandro Prieto Castro (INCIBE)
Recorrido legislativo europeo ciberseguridad aviación civil

Este artículo pretende repasar de forma breve algunas de las legislaciones europeas e internacionales en materia de ciberseguridad concernientes a la aviación civil. Por lo tanto, no es un listado exhaustivo, sino que se ha resumido cada una de ellas para facilitar la lectura en detrimento de la exactitud de las mismas. Sirva como base introductoria al interesado y punto de partida para explorar en profundidad la legislación.

El desarrollo regulador europeo en materia de ciberseguridad de la aviación aérea se encuentra incluido en las diversas publicaciones emitidas por el Parlamento Europeo y la Comisión Europea. La primera a la que haremos referencia es el Reglamento (UE) 2018/1139 sobre normas comunes en el ámbito de la aviación civil y por el que se crea una Agencia de la Unión Europea para la Seguridad Aérea. En dicho reglamento se evidencia la interdependencia entre los distintos dominios de la seguridad, incluida la ciberseguridad en la aviación civil. Además, se insta a la cooperación entre los Estados miembros y la agencia.

Por otro lado, es interesante destacar el Reglamento (UE) No 376/2014 relativo a la notificación de sucesos en la aviación civil, que establece la protección de la información compartida sobre seguridad aérea. En dicha regulación se definen los criterios de dicha notificación.

De especial relevancia es el Reglamento Delegado (UE) 2022/1645 en lo que se refiere a los requisitos relativos a la gestión de los riesgos relacionados con la seguridad de la información que puedan repercutir sobre la seguridad aérea. Este reglamento modifica una serie de leyes: Reglamento (UE) nº. 748/2012 y (UE) nº. 139/2014, donde se incluye adicionalmente como requisito el sistema de gestión de la seguridad de la información.

El  Reglamento de Ejecución (UE) 2019/1583, por el que se establecen medidas detalladas para la aplicación de las normas básicas comunes de seguridad aérea, en lo que se refiere a las medidas de ciberseguridad, modifica el Reglamento de Ejecución (UE) 2015/1998.

A su vez, se debe mencionar el Reglamento de Ejecución (UE) 2017/373, por el que se fijan  requisitos comunes para los proveedores de servicios de gestión del tránsito aéreo/navegación aérea y otras funciones de la red de gestión del tránsito aéreo y su supervisión. Explícitamente se requiere que “los proveedores de servicios de navegación aérea y de gestión de afluencia del tránsito aéreo y el gestor de la red adoptarán las medidas necesarias para proteger sus sistemas, componentes utilizados y datos e impedirá que se comprometa la red frente a amenazas para la seguridad de la información y ciberataques que puedan suponer una interferencia ilícita que afecte a la prestación de sus servicios”.

El Reglamento (UE) 1035/2011 impone requisitos comunes para la prestación de servicios de navegación aérea, en el que se establece, por ejemplo, “la protección de sus instalaciones y de su personal, con el fin de evitar interferencias ilícitas que afecten a la prestación de servicios de navegación aérea”. A su vez, también cabe destacar la mención sobre el funcionamiento del sistema de gestión de la seguridad: “el proveedor de servicios de tránsito aéreo deberá implantar un sistema de garantía de la seguridad del software”.

La Comisión publicó el Reglamento de Ejecución (UE) 2023/203 (EASA Part-IS), por el que se establecen disposiciones de aplicación del Reglamento (UE) 2018/1139 del Parlamento Europeo y del Consejo, en lo que se refiere a los requisitos relativos a la gestión de los riesgos relacionados con la seguridad de la información que puedan repercutir sobre la seguridad aérea. Se establecen tres objetivos fundamentales: detectar y gestionar los riesgos relacionados con la seguridad de la información, detectar eventos de seguridad de la información y determinar cuáles se consideran incidentes de seguridad, así como la respuesta a dichos incidentes y recuperación.

De ámbito más transversal a diferentes sectores, la Directiva de la UE 2016/1148, cuya transposición en el ordenamiento jurídico español a través del Real Decreto-ley 12/2018, de 7 de septiembre, de Seguridad de las Redes y Sistemas de Información es el de establecer mecanismos que, con una perspectiva integral, permitan mejorar la protección frente a las amenazas que afectan a las redes y sistemas de información. Se puede encontrar más información en este enlace.

La Directiva (UE) 2022/2555 vendrá a sustituir, una vez transpuesta en las diferentes leyes de los Estados miembros, a la anterior mencionada, y donde las entidades relacionadas con la aviación civil podrán estar sujetas a su cumplimiento, dependiendo de sus funciones y características. Se puede encontrar más información en este enlace.

En materia de protección de datos personales en la Unión Europea está vigente el General Data Protection Regulation (GDPR), donde se establecen las normas para asegurar el debido tratamiento de dichos datos.

No obstante, este repaso legislativo quedaría incompleto si no se revisaran las convenciones y tratados internacionales suscritos por España en materia de seguridad aérea, donde de forma directa e indirecta se menciona la ciberseguridad. En primer lugar, aunque no trate directamente cuestiones de ciberseguridad, en el convenio para la Represión del Apoderamiento Ilícito de Aeronaves (Convenio de La Haya de 1970) puede interpretarse la inclusión de cualquier toma de control de un pasajero a través de un ciberataque. Como se verá más adelante, el aspecto ciber fue explicitado por el Protocolo Complementario de Beijing de 2010.

Mientras que el anterior convenio afectaría a ataques desde el interior del avión, el Convenio para la Represión de Actos Ilícitos contra la Seguridad de la Aviación Civil (Convenio de Montreal de 1971) incluiría ataques externos, como los ataques cibernéticos remotos que puedan suponer un problema de seguridad.

Posteriormente, hubo una ampliación del Convenio de Montreal en el que se incluyen los aeropuertos. Dicha modificación fue el protocolo para la Represión de Actos Ilícitos de Violencia en los Aeropuertos que presten servicio a la aviación civil internacional, complementario del Convenio para la Represión de Actos Ilícitos contra la Seguridad de la Aviación Civil (Protocolo de los Aeropuertos de 1988).

El Convenio para la Represión de Actos Ilícitos relacionados con la Aviación Civil Internacional (Convenio de Beijing de 2010) vino a reforzar y ampliar el ámbito de aplicación, cubriendo los ataques, entendiendo también los ciberataques, a los sistemas de navegación aérea: señales, datos, información o sistemas necesarios para la navegación de las aeronaves.

Con el Protocolo Complementario del Convenio para la Represión del Apoderamiento Ilícito de Aeronaves (Protocolo Complementario de Beijing de 2010) se vino a reforzar el Convenio de la Haya de 1970. Este protocolo expresa de forma explícita cualquier ataque por medios tecnológicos: “Comete delito toda persona que ilícita e intencionalmente se apodere o ejerza el control de una aeronave en servicio mediante violencia o amenaza de ejercerla, mediante coacción o cualquier otra forma de intimidación, o mediante cualquier medio tecnológico”.

Toda esta batería de leyes, tanto europeas como internacionales, pone de manifiesto el papel preponderante, no solo de la seguridad en general, sino también el de la ciberseguridad en el ámbito de la aviación civil. Se ha visto que la ciberseguridad puede ser considerada dentro de un concepto más amplio de seguridad ya prevista desde hace décadas. También se puede observar el estado vivo y cambiante en los diferentes reglamentos europeos y convenios internacionales para incorporar de forma explícita la ciberseguridad como requisito indispensable.

Nota: este artículo carece de entidad jurídica, ante cualquier discrepancia prevalece el ordenamiento legal vigente.