sector de la seguridad privada, empresas de seguridad, empresas de servicios, revista Seguritecnia
Revista Seguritecnia Edición impresa
Valoración
  • Actualmente 0 de 5 Estrellas.
Tu valoración
  • Actualmente 0 de 5 Estrellas.
  • 1
  • 2
  • 3
  • 4
  • 5
OPINIÓN

Ana Borredá, Presidenta de la Fundación Borredá

Directiva NIS: la oportunidad

El pasado 6 de julio el Parlamento Europeo aprobó la Directiva 2016/1148/UE, sobre seguridad de las redes y la información, conocida por sus siglas en inglés como Directiva NIS. Su finalidad es establecer una serie de medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión Europea en beneficio del comercio interior.

Conviene tener en cuenta que se trata de una legislación de mínimos toda vez que respeta la capacidad de los Estados miembros para adoptar o mantener otras disposiciones más exigentes.

En todo caso, esta Directiva habrá de ser traspuesta a las legislaciones nacionales antes del 9 de mayo de 2018, como fecha límite, por lo que su aparición, largo tiempo esperada, abre nuevos caminos para el desarrollo armónico del modelo de seguridad español, en un momento en que el Reglamento que desarrolle la Ley 5/2014, de Seguridad Privada, debería abordar ex novo la cuestión de la seguridad informática, además de cerrar el modelo apuntado en la ley siguiendo decididamente los principios inspiradores de nuestro Sistema de Protección de Infraestructuras Críticas (PIC) en cuanto a corresponsabilidad y colaboración. 

En efecto, pese a que España dispone de un modelo de seguridad de probada eficacia, impulsado con notable acierto en la última legislatura, es evidente que además de existir ámbitos cuya seguridad precisa un tratamiento novedoso y específico, sería deseable desarrollar el bloque de normativa de seguridad desde una perspectiva global para alcanzar una cierta homogeneidad en el tratamiento a las diferentes áreas y mejorar la eficiencia del modelo.

Desde este punto de vista, examinaremos el impacto de la Directiva NIS, tanto por el nuevo escenario que se configura, como por su incidencia en otras normas reguladoras. Analizaremos así las obligaciones impuestas por la nueva Directiva, especialmente en lo relativo a las autoridades y órganos de representación que crea, así como su incidencia en el ámbito PIC y en el de la seguridad privada, en particular, sobre sus previsiones en materia de seguridad informática y en la figura de los sujetos obligados.

Obligaciones de la directiva

La Directiva parte de la premisa de que para dar una respuesta efectiva a los problemas de seguridad de las redes y sistemas de información es necesario un planteamiento global en la Unión Europea que integre requisitos mínimos comunes en materia de desarrollo de capacidades y planificación, intercambio de información, cooperación y requisitos comunes de seguridad para los operadores de servicios esenciales y los proveedores de servicios digitales. A tal fin:

A) Establece requisitos en materia de seguridad y notificación de incidentes para los operadores de servicios esenciales y para los proveedores de servicios digitales. 

La Directiva define al operador de servicios esenciales como aquella entidad que presta un servicio esencial para el mantenimiento de actividades sociales o económicas cruciales, donde la prestación de dicho servicio depende de los sistemas de redes y de información, y en las que un incidente tendría consecuencias perjudiciales significativas para la prestación de dicho servicio, de acuerdo con los criterios de criticidad apuntados en la propia Directiva.

Estos servicios se refieren únicamente a los sectores aludidos en la propia Directiva, que los clasifica así: 

  • Sector Energía (subsectores electricidad, petróleo, gas).
  • Sector Transporte (subsectores transporte aéreo, ferrocarril, transporte por agua - marítimo, costero y fluvial -, carretera).
  • Sector Banca.
  • Sector Infraestructuras Financieras de mercado.
  • Sector Salud.
  • Sector Suministro y Distribución de Agua para consumo humano.
  • Sector Infraestructura Digital.

Los operadores de servicios esenciales, que han de ser identificados antes del 9 de noviembre de 2018, deberán adoptar medidas técnicas y de organización que garanticen un nivel de seguridad de las redes y sistemas de información adecuado en relación con el riesgo planteado, para prevenir y reducir al mínimo los efectos de los incidentes con el objeto de garantizar su continuidad. Igualmente, deberán notificar, sin dilación indebida a la autoridad competente, los incidentes que tengan efectos significativos en la continuidad de los servicios esenciales que prestan.

bandera UE_gi

La Autoridad Nacional competente velará por la aplicación y observancia de estas obligaciones, recabando pruebas de su aplicación efectiva, que incluyen el resultado de auditorías realizadas por la propia autoridad o por auditores cualificados.

La Directiva otorga la condición de proveedor de servicios digitales a toda persona jurídica que preste un servicio digital, concepto definido a su vez en la Directiva 2015/1535 como todo servicio de la sociedad de la información, es decir, todo servicio prestado normalmente a cambio de una remuneración, a distancia, por vía electrónica y a petición individual de un destinatario de servicios. Pero solamente tienen esta consideración tres tipos de servicios: mercado en línea, motor de búsqueda en línea y computación en nube, también definidos en el artículo 4 de la Directiva NIS.

A estos proveedores de servicios digitales se les imponen obligaciones similares que a los operadores en relación a la prevención de riesgos y continuidad del servicio, si bien la obligación de notificar incidentes les afecta únicamente en la medida en que dispongan de información sobre sus efectos, trasladándose en todo caso al operador. 

No obstante, es importante resaltar que estas obligaciones no son aplicables a las microempresas (empresas que ocupan a menos de 10 personas y cuyo volumen de negocios anual o cuyo balance general anual, no supera los 2 M€) y pequeñas empresas (aquellas que ocupan a menos de 50 personas y cuyo volumen de negocios anual o cuyo balance general anual no excede de 10 M€).

Respecto al cumplimiento de las medidas exigibles a los proveedores de servicios digitales, las autoridades competentes de los Estados miembros llevarán a cabo, si fuera necesario, actividades de supervisión a posteriori, cuando tengan pruebas de algún incumplimiento de los requisitos establecidos. En todo caso se establecen previsiones para la cooperación entre Estados miembros cuando un proveedor actúe en varios de ellos.

B) Establece obligaciones para todos los Estados miembros de adoptar una estrategia nacional de seguridad de las redes y sistemas de información.

A este respecto, hay que señalar que España dispone, desde diciembre de 2013, de una Estrategia Nacional de Ciberseguridad, una de cuyas líneas de acción es precisamente la Seguridad de los Sistemas de Información y Telecomunicaciones que soportan las Infraestructuras Críticas, liderada por el Ministerio del Interior a través del Centro Nacional para la Protección de las Infraestructuras Críticas y Estratégicas (CNPIC). De esta línea de acción se ha derivado un Plan de Protección y Resiliencia de los Sistemas de Información y Telecomunicaciones que soportan las Infraestructuras Críticas, liderado y ejecutado igualmente por el CNPIC.

C) Crea un Grupo de Cooperación, grupo de trabajo en el que se integran representantes de los Estados miembros, de la Comisión y de la Agencia de Seguridad de las Redes y de la Información de la Unión Europea (ENISA), que tiene por objeto apoyar y facilitar la cooperación estratégica y el intercambio de información entre los Estados miembros. 

Como queda dicho, este grupo actúa en un nivel estratégico, por lo que el representante nacional debería ser una figura de alto nivel que podría contar con el asesoramiento de la Autoridad Nacional y, en su caso, de los representantes de los CSIRT nacionales. En este sentido, conviene recordar que España cuenta con un embajador en misión especial para la ciberseguridad.

D) Crea una red de Equipos de Respuesta a Incidentes de Seguridad Informática (CSIRT:Computer Security Incident Response Teams) con el fin de contribuir al desarrollo de la confianza y seguridad entre los Estados miembros y promover una cooperación operativa rápida y eficaz. 

Estos equipos deben cubrir, al menos, los sectores y servicios ya relacionados y sus requisitos han de definirse claramente en la legislación nacional, si bien la propia Directiva ya avanza algunos: ofrecer una elevada disponibilidad y contar con canales de comunicación perfectamente especificados, ubicarse en lugares seguros y garantizar la continuidad de su actividad.

En cuanto a sus funciones, deben supervisar y responder a incidentes a escala nacional, difundir alertas e información entre los interesados, efectuar un análisis dinámico de riesgos e incidentes y participar en la red de CSIRT.

Para acceder al artículo completo descarga el PDF adjunto.

Volver