Ciberseguridad

La llegada de la ciberseguridad: la transposición de la Directiva NIS

También, podrías estar interesado en

La llegada de la ciberseguridad: la transposición de la Directiva NIS

  • 25/09/2018

 

Para ello, persigue establecer unos requisitos mínimos comunes que garanticen la seguridad de los operadores de servicios esenciales y los proveedores de servicios digitales, con el fin de fomentar una cultura de gestión de riesgos y garantizar la notificación de los incidentes más graves.

En esa dirección, la regulación española transpone la Directiva en coherencia con las obligaciones que se deriven de otras normativas en materia de seguridad de la información, tanto de carácter horizontal como sectorial, estableciendo:

  • Una identificación de los operadores de servicios esenciales, en relación a la importancia del servicio y los clientes de la entidad, con una revisión bienal y ulterior comunicación a la Comisión.
  • La necesidad de adoptar las medidas adecuadas para gestionar los riesgos que se planteen para la seguridad de las redes y sistemas de información en la actividad de los operadores de servicios esenciales y proveedores de servicios digitales, aunque su gestión esté externalizada.
  • La creación de un sistema de notificación de incidentes a las autoridades de control designadas, que tienen competencia para vigilar y aplicar el régimen sancionador con imposición de multas de hasta un millón de euros.
  • El establecimiento de un marco de cooperación entre autoridades competentes, CSIRT de referencia, puntos de contacto único transfronterizos y órganos relevantes en el ámbito comunitario que facilite la capacidad de comunicación institucional y mitigación de riesgos.

De todo ello se sigue una conjunción de elementos encaminados a detectar, analizar y limitar un incidente, además de poder responder ante éste. Y de ahí nace, justamente, varios deberes de comunicación y notificación, como son:

  • El deber de los proveedores de servicios digitales de comunicar su actividad a la autoridad competente en el plazo de 3 meses desde que la inicien.
  • La notificación de los sucesos e incidentes que puedan afectar a los servicios esenciales, aún cuando no hayan tenido un efecto adverso real sobre aquellos.
  • La notificación de los incidentes con efectos perturbadores en las redes y servicios de información que se emplean para la prestación de servicios esenciales y digitales.

Precisamente, por la importancia que alberga la notificación en la gestión de riesgos, el Real decreto-ley contempla la confidencialidad de la entidad notificante y el personal que informe sobre incidentes ocurridos. Además, para poder realizar dichas notificaciones se prevé la creación de una plataforma común que permitirá facilitar y agilizar la comunicación de incidentes y que, a su vez, servirá para notificar la vulneración de la seguridad de datos personales.

Con la transposición de la Directiva NIS se presume que el ordenamiento español da un paso adelante para garantizar un elevado nivel de seguridad de las redes y sistemas de información nacionales, adaptándose al compromiso europeo para establecer una protección común y un nivel general de seguridad.

Para valorar su aplicabilidad, deberemos estar pendientes de la evolución que sigue en sus primeros pasos.