sector de la seguridad privada, empresas de seguridad, empresas de servicios, revista Seguritecnia, ciberseguridad
Revista Seguritecnia Edición impresa
Valoración
  • Actualmente 0 de 5 Estrellas.
Tu valoración
  • Actualmente 0 de 5 Estrellas.
  • 1
  • 2
  • 3
  • 4
  • 5
OPINIÓN

Ley NIS: nuevo impulso a la ciberseguridad

España traspone la Directiva NIS 06/02/2019 - Por Enrique González Herrero.
El Real Decreto-ley de Seguridad de las Redes y Sistemas de la Información se ha aprobado recientemente para trasponer la Directiva nis. Hacemos una síntesis de las claves de esta norma, que afecta a los servicios esenciales y digitales.

La ciberseguridad de las infraestructuras estratégicas españolas acaba de recibir un fuerte impulso a través del Real Decreto-Ley de Seguridad de las Redes y Sistemas de la Información, aprobado el 7 de septiembre. Con esta norma, España traspone a su ordenamiento jurídico la directiva europea sobre la materia, la conocida como Directiva NIS, que establece un marco común de seguridad en la Red en toda la UE y refuerza las medidas de protección en el entorno virtual. La medida llega con retraso, ya que el 9 de mayo finalizó el plazo concedido por la Comisión Europea para su adaptación a las legislaciones nacionales (de hecho Bruselas ya ha iniciado un procedimiento formal de infracción); pero con ella España se pone al día y, lo más importante, refuerza el marco de seguridad de los servicios más importantes para la sociedad.

Este real decreto-ley (en adelante Ley NIS) afecta, por un lado, a los operadores de servicios esenciales; es decir, aquellos necesarios “para el mantenimiento de las funciones sociales básicas, la salud, la seguridad, el bienestar social y económico de los ciudadanos, o el eficaz funcionamiento de las instituciones del Estado y las administraciones públicas, que dependan para su provisión de redes y sistemas de información”, según la definición que recoge la propia norma.

Por extensión, las infraestructuras críticas también verán incrementada su seguridad de la información.  De ahí que la Ley NIS se haya alineado con la normativa sobre esa materia y sea la Comisión Nacional para la Protección de las Infraestructuras Críticas la que se encargará de identificar cuáles son los servicios esenciales sujetos a ella. De hecho, la nueva norma va más allá del ámbito establecido por la UE en la Directiva NIS y se extiende a los 12 sectores estratégicos que marca la Ley PIC española.

Por otro lado, además de los operadores estratégicos, la Ley NIS obliga igualmente a los proveedores de servicios digitales que sean motores de búsqueda, mercados en línea o de computación en la nube (excepto cuando se trate de pequeñas empresas o microempresas). 

Autoridades competentes

Uno de los aspectos más destacados de esta norma es que dibuja un marco de colaboración institucional y estratégico. La Ley NIS identifica a diferentes autoridades de referencia, según el tipo operador o proveedor del que se trate. Estas autoridades se harán cargo, entre otras funciones, de supervisar el cumplimiento de esta ley, establecer obligaciones específicas, colaborar con otras autoridades, dictar guías y normas o sancionar a quienes la incumplan. Serán también las que recibirán, a través de los CSIRT asignados, las notificaciones sobre incidentes de ciberseguridad que produzcan “efectos perturbadores” para las empresas o administraciones sujetas a esta regulación. Las autoridades competentes son: 

  • La Secretaría de Estado de Seguridad, a través del Centro Nacional de Protección de Infraestructuras y Ciberseguridad (CNPIC), en el caso de los operadores críticos.  
  • El Ministerio de Defensa, a través del Centro Criptológico Nacional, para aquellos operadores estratégicos y proveedores de servicios digitales de ámbito público que no sean críticos. 
  • La Secretaría de Estado para el Avance Digital, del Ministerio de Economía y Empresa, para los proveedores de servicios digitales privados. 

La norma, no  obstante, deja pendiente para el posterior desarrollo reglamentario cuáles serán las autoridades sectoriales correspondientes para aquellos operadores de servicios esenciales que no sean críticos y que no pertenezcan al sector público.

Puede acceder al contenido completo en el siguiente enlace.

Volver