sector de la seguridad privada, empresas de seguridad, empresas de servicios, revista Seguritecnia, ciberseguridad
Revista Seguritecnia Edición impresa
OPINIÓN

César Álvarez Fernández , Coordinador de proyectos de la Fundación Borredá

Seguridad de las redes y sistemas de información: comentarios al borrador del Anteproyecto de Ley NIS

El pasado día 4 de diciembre, el Ministerio de Energía, Turismo y Agenda Digital (MINETAD) puso en audiencia pública el borrador del Anteproyecto de Ley sobre la Seguridad de Redes y Sistemas de Información (Ley NIS). La Fundación Borredá, consciente de la trascendencia de esta norma, ha puesto en marcha un grupo de trabajo compuesto por profesionales independientes que ha contado en todo momento con la colaboración de sus propios socios protectores, para estudiar el borrador sometido a la audiencia pública y efectuar las aportaciones pertinentes que se desarrollan a continuación.

El 6 de julio de 2016 se aprobó la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo (conocida como Directiva NIS), cuyo objetivo es alcanzar un alto nivel de seguridad en las redes y sistemas de información en la Unión Europea mediante la mejora de las capacidades relativas a ciberseguridad a nivel nacional, el aumento de la cooperación a nivel de la Unión Europea y la obligatoriedad de la gestión de riesgos y la comunicación de incidentes para los operadores de servicios esenciales y los de servicios digitales.

Como quiera que el plazo fijado para su transposición al ordenamiento interno de los países miembros finaliza el 9 de mayo de 2018, el pasado día 4 de diciembre, el Ministerio de Energía, Turismo y Agenda Digital (MINETAD) puso en audiencia pública el borrador del Anteproyecto de Ley sobre la Seguridad de Redes y Sistemas de Información (Ley NIS), cuyo objeto es “regular la seguridad de las redes y sistemas de información utilizados para la provisión de los servicios esenciales y de los servicios digitales y establecer un sistema de notificación de incidentes“.

La Fundación Borredá, consciente de la trascendencia de esta norma, ha puesto en marcha un grupo de trabajo compuesto por profesionales independientes que ha contado en todo momento con la colaboración de sus propios socios protectores, para estudiar el borrador sometido a la audiencia pública y efectuar las aportaciones pertinentes. Estas observaciones fueron recogidas en un documento remitido al MINETAD en tiempo y forma, que se ha tomado como base para la elaboración de este análisis difundido a través de la revista Seguritecnia, abriendo en ésta un espacio en el que, bajo el título genérico de “A vista de Fundación”, se analizarán asuntos de actualidad con gran impacto potencial en el mundo de la seguridad.

Cuestiones generales 

  • En el caso particular de España, se parte de una de las legislaciones europeas más avanzadas en materia de protección de los servicios esenciales, a través de las infraestructuras que les dan soporte. La Ley 8/2011, de Protección de Infraestructuras Críticas (Ley PIC), establece un sistema perfectamente armonizado, que ha permitido el desarrollo de 13 Planes Estratégicos Sectoriales, la designación de 120 operadores críticos y la aprobación de más de 300 planes de seguridad de diferentes tipos, además de haber contribuido a un cambio sustancial en nuestra cultura de seguridad. La experiencia obtenida en este campo debe guiar la transposición de la Directiva 2016/1148 a nuestro ordenamiento, de forma que la futura ley que lo materialice aborde la cuestión de forma coherente y perfectamente armonizada con la normativa actualmente vigente y ya desarrollada. En este sentido, el borrador, con buen criterio, pone el foco en los servicios esenciales producidos en los sectores estratégicos definidos en el anexo de la Ley PIC (8/2011), siempre que dependan de las redes y sistemas de información y trata de respetar el marco competencial del Ministerio del Interior (a través del Centro Nacional de Protección de Infraestructuras y Ciberseguridad, CNPIC).
ley nis imagen rel 1
  • En esta misma línea, se pierde la oportunidad de mejorar la redacción de la directiva desde el momento en el que se establece el concepto de operador de servicios esenciales como sujeto sometido a esta ley, independientemente de su propia criticidad. Hay una cierta falta de coherencia con la Ley PIC, toda vez que en ésta ya se definen los servicios esenciales y las infraestructuras estratégicas que les dan soporte, como paso previo a la introducción del concepto de operador crítico, auténtico sujeto obligado de la ley. Teniendo en cuenta que en el anteproyecto de Ley NIS se prevé su aplicación únicamente a aquellos proveedores de servicios esenciales en los que concurran las circunstancias previstas en el artículo 6.2, la condición de sujeto obligado debería restringirse a un grupo de operadores seleccionados por su criticidad, a semejanza de los operadores críticos en el ámbito de la protección de infraestructuras críticas (PIC).
  • Por otra parte, en el borrador se define servicio digital como aquel servicio de la sociedad de la información entendido en el sentido recogido en la letra a) del anexo de la Ley 34/2002, de servicios de la sociedad de la información y de comercio electrónico. En su virtud, sería un servicio digital “todo servicio prestado a distancia, por vía electrónica y a petición individual del destinatario”, lo que incluye, entre otros, la contratación de bienes o servicios por vía electrónica, el envío de comunicaciones comerciales o incluso el suministro de información por vía telemática. Esta definición es mucho más amplia que la recogida en el anexo III de la directiva, que se restringe a los mercados y los motores de búsqueda en línea y los servicios de computación en la nube. Esta definición amplia supone que el impacto será mayor que el previsto en la directiva o incluso que el desarrollo de la directiva a nivel europeo no sea de aplicación a la mayoría de los servicios recogidos en el borrador NIS.
  • Otro punto que es importante destacar es el establecimiento de equipos de respuesta a incidentes de seguridad informática (CSIRT), que permiten unificar y centralizar en un único punto (el Consejo de Seguridad Nacional) las acciones a realizar con el fin de hacer frente a incidentes de seguridad que pueden afectar a todos los aspectos de la sociedad en su conjunto y que permiten también una comunicación, cooperación y centralización de las repuestas que se puedan dar a nivel europeo a incidentes que, como hemos visto en el pasado, son transfronterizos. Estamos realmente expectantes por conocer cómo se va a articular operativamente este CSIRT entre todos los afectados.
  • En relación con la propia directiva, al margen de lo acertado o no de excluir de su aplicación a las pequeñas y microempresas, llama la atención que se omite toda referencia a una estrategia nacional de seguridad de las redes y sistemas de información, que en aquella se incluía entre las definiciones del artículo 4. En el anteproyecto, esta estrategia se considera implícitamente subsumida en la estrategia de ciberseguridad nacional, pero lo cierto es que, con su eliminación expresa, se corre el riesgo de descontextualizar el marco de referencia de la ley.

Autoridades competentes y CSIRT 

  • En cuanto a los proveedores de servicios digitales, el artículo 7 exige que comuniquen su condición a la autoridad competente, a los meros efectos de su conocimiento. No obstante, la relativa complejidad del sistema de autoridades competentes debería soslayarse mediante la existencia de una autoridad de referencia, que pueda guiar a estos proveedores a su incorporación al sistema. En todo caso, debería explicitarse la forma, punto de contacto y modelo para la comunicación a la autoridad competente del inicio de actividad o, al menos, diferir expresamente su concreción al posterior desarrollo reglamentario.
  • Esa misma complejidad del sistema de autoridades competentes constituye el principal problema de la solución ofrecida por la ley para equilibrar el entramado de órganos que vienen ya actuando en materia de redes y sistemas. En efecto, la atribución de autoridad al mismo nivel a diferentes órganos y para diferentes ámbitos puede dar lugar a ciertos desequilibrios o, al menos, descoordinaciones entre las distintas autoridades.  Aunque se atribuye al Consejo de Seguridad Nacional la capacidad para establecer los mecanismos necesarios para la coordinación de las actuaciones de las autoridades competentes, es el momento de valorar si esta solución es más operativa que la de establecer una autoridad de referencia, en la línea apuntada en el párrafo anterior y como la propia ley prevé para los CSIRT en el caso del CCN-CERT. En cualquier caso, la ley debería incorporar al artículo 10.g) la obligación expresa para estas autoridades de colaborar entre sí.
ley nis 2
  • Por otra parte, en lo que respecta a las autoridades competentes en materia de seguridad, es necesario aclarar, al menos, dos casuísticas que no han sido recogidas en el anteproyecto de ley:
  • Empresas que cumplen de forma simultánea varios de los requisitos indicados, como es el caso de un operador de servicios esenciales, que ha sido clasificado como operador de infraestructuras críticas, pero que a su vez presta servicios digitales. Entendemos que, en este caso, la autoridad competente debería ser el CNPIC.
  • Grupos de empresas, donde pueden existir varias empresas del grupo que cumplen diferentes condiciones en cuanto a aplicación y obligaciones de la ley. De acuerdo con la idea de armonizar el proceso de comunicaciones y responsabilidad, debería ser nuevamente el CNPIC.
  • En cuanto a los requisitos de los CSIRT de referencia, el artículo 12.1.c) emplea el término “traspasos”, no definido y, por tanto, impreciso: “Estarán dotados de un sistema adecuado para gestionar y canalizar las solicitudes con el fin de facilitar los traspasos”. Es preciso concretar el alcance de la obligación para su exigencia efectiva.

Obligaciones de seguridad

  • Según el artículo 15, los operadores de servicios esenciales y los proveedores de servicios digitales deberán adoptar medidas técnicas y de organización, adecuadas y proporcionadas para gestionar los riesgos que se planteen para la seguridad de las redes y sistemas de información utilizados en la prestación de los servicios sujetos a esta ley. Ahora bien, teniendo en cuenta la habitualidad de la subcontratación de parte de los servicios, con la consiguiente creación de toda una cadena de suministro que aporta valor, pero también es crítica para mantener un nivel de seguridad, debería establecerse con claridad que, en caso de que haya terceros implicados en la prestación del servicio, estarán también sujetos a las mismas obligaciones, mientras que operadores y proveedores serán responsables de subcontratar servicios que les permitan cumplir con sus obligaciones.
  • Por otra parte, al establecer en el artículo 15.2 las obligaciones de seguridad de los operadores de servicios esenciales y de los proveedores de servicios digitales, se deja al desarrollo reglamentario un margen de discrecionalidad excesivo. Sería muy conveniente fijar un marco de referencia basado en estándares internacionales, cuerpos de conocimiento y otras fuentes de buenas prácticas ampliamente reconocidas y ya utilizadas y desplegadas en empresas del sector privado. Ciertamente, la Administración debería tomar en consideración como fuente de información las buenas prácticas ya desarrolladas internacionalmente, que son exigibles y requeridas para otros ámbitos y que se han demostrado efectivas, en los niveles de exigencia solicitados por el mercado. En cualquier caso, dado que actualmente la Comisión Europea se encuentra preparando un acto de ejecución en forma de reglamento con el objeto de especificar los elementos y parámetros de las medidas de seguridad y los requisitos de notificación impuestos a los proveedores de servicios digitales, las referencias a posteriores desarrollos normativos que contiene el anteproyecto de ley deberían tener en cuenta dicho desarrollo reglamentario europeo.
  • Por último, dentro de la debida coherencia normativa, hay que poner foco en lo referido a la protección de datos, el cumplimiento del Reglamento General Europeo de Protección de Datos, así como al envío de información con extremo carácter sensible, como son las políticas de seguridad, tanto a las autoridades competentes como a los CSIRTs.

Gestión de incidentes 

  • Si bien hay que resaltar el positivo trabajo realizado por el MINETAD para intentar unificar, en la medida de lo posible, las competencias de las distintas autoridades y organismos implicados, así como la creación del punto único, hay que incidir en la necesidad de crear una ventanilla única de seguridad que permita la canalización de cualquier incidente que afecte a la seguridad, independientemente de la materia. Esta ventanilla única permitiría, con una agilidad extraordinaria, garantizar el flujo de la información sobre los incidentes de seguridad dando debido cumplimiento a las necesidades de información de todas las partes afectadas, así como su rápida actuación. Alternativamente, la unificación de los distintos CSIRT en uno único contribuiría de forma significativa a la necesaria colaboración a nivel europeo para la detección y actuación sobre incidentes o ciberataques. Como es sabido, éstos evolucionan de forma continua y con origen muy distinto, de modo que es necesario insistir en que se establezcan cauces eficientes y eficaces de colaboración entre los CSIRT de los distintos Estados miembros, y de estos con los prestadores de servicios esenciales, pues ayudarán a prevenir potenciales riesgos para la seguridad europea y, al mismo tiempo, permitirán cumplir con uno de los principales objetivos de la NIS, que es el desarrollo de una red robusta, así como a la prestación de servicios de la forma más segura posible.
ley nis 3
  • El artículo 21.1 requiere realizar una primera notificación “sin dilación indebida”. Pero no se fija un plazo para notificar, aunque sea máximo. Dado que la directiva no prohíbe ni fija plazo alguno y que el Reglamento General de Protección de Datos ha establecido un plazo máximo de 72 horas para la notificación –que ya es conocido por las organizaciones–, se considera muy efectivo utilizar también ese plazo de 72 horas, a contar desde el momento en que el operador identifique el incidente.
  • La cuestión de la información al público, regulada en el artículo 25, resulta extremadamente delicada. Obviamente, la autoridad competente debe tener la capacidad de exigir a los operadores de servicios esenciales o a los proveedores de servicios digitales que informen al público sobre los incidentes cuando su conocimiento sea necesario para evitar nuevos incidentes o gestionar uno que ya se haya producido, o cuando la divulgación de un incidente redunde en interés público. El problema más grave se presenta cuando la decisión sobre comunicación se toma de forma unilateral por el regulador, incluso si la investigación del mismo está en marcha, o si el incidente se ha reportado sin toda la información, o incluso si su difusión podría advertir al/los atacante/s de que su ataque ha sido detectado. El loable ánimo de información al público sobre incidentes no debería ser una dificultad ni para su correcta investigación, ni debería causar un daño reputacional innecesario a las organizaciones. En ocasiones, la autoridad competente puede no tener una visión completa de los impactos de la comunicación de incidentes en la organización que lo está sufriendo, o de la posible pérdida de credibilidad de la autoridad o de la entidad en caso de plantearse dudas o consultas para las que aún no se dispone de respuesta. Así pues, en estos supuestos, la autoridad competente debería consultar y coordinarse con el operador de servicios esenciales o el proveedor de servicios digitales antes de informar al público, evitando hacerlo cuando la información sea insuficiente para ofrecer explicaciones adicionales, o si, tras consultar con las autoridades señaladas en los artículos 14.3 o 18.5, se indicase que la difusión del incidente entorpecerá la persecución del posible delito.
  • Respecto al deber de colaboración mutua para resolver incidentes, los operadores de servicios esenciales y los proveedores de servicios digitales han de suministrar al CSIRT de referencia y a la autoridad competente toda la información que se les requiera para el desempeño de sus funciones. Tanto la Ley de Seguridad Privada como la de Protección de Infraestructuras Críticas institucionalizan el enlace del operador con la Administración en la figura del director de seguridad o responsable de seguridad y enlace. La Ley NIS debe mantener la coherencia del modelo atribuyendo específicamente la función de enlace a la figura del director de seguridad, sin perjuicio de admitir su libertad de organización funcional para optimizar el resultado de su gestión.
  • La ley no contiene ninguna previsión relativa al tratamiento histórico de la información sobre incidentes comunicada a las autoridades competentes o a los CSIRT. Se entiende que una vez comunicado y resuelto un incidente, tras extraer la información y conclusiones pertinentes,  las necesidades de información quedan satisfechas con el  análisis estadístico y de tendencias que proporciona el informe anual.  La disponibilidad de información en manos de la Administración supone un costo de mantenimiento en términos de recursos de almacenamiento y de medidas de protección y, en el peor de los casos, un riesgo de filtración con consecuencias reputacionales para las entidades que reportaron el incidente. Parece razonable, en consecuencia, limitar estos riesgos mediante la eliminación de la información referida a incidentes desde cuya fecha de cierre hayan transcurrido más de doce meses, pudiendo conservar únicamente la de aquellos que aún no se hayan cerrado o que se hayan cerrado en los últimos doce meses.

Supervisión, control y régimen sancionador 

  • El regulador se atribuye un derecho ilimitado de auditoría sobre operadores, tanto en el número de auditorías exigibles como en su profundidad. Sobre los prestadores de servicios digitales, el derecho es ilimitado en profundidad, dado que debe ser iniciado por denuncia. Por otra parte, no se contempla la reutilización de la información derivada del programa de auditorías que operador o prestador puedan ya estar ejecutando en cumplimiento de las previsiones del artículo 15.4.d). Conviene tener presente que el ejercicio de esta acción por parte de la Administración supone un sobrecoste para los operadores, por lo que, en lo posible, su uso debería ser restrictivo. Por la misma razón, deben valorarse positivamente y reforzarse las acciones que tiendan a reducir costes en el proceso de inspección y control, utilizando al máximo la información generada por los procesos de auditoría seguidos voluntariamente por los propios operadores o proveedores de servicios. 
  • Un punto a destacar positivamente es el establecimiento de un régimen de infracciones de las administraciones públicas, incluso previendo la iniciación de actuaciones disciplinarias. No obstante, el montante de las sanciones económicas establecidas para las empresas puede inducir a que se perciban con un fin recaudatorio, más que disuasorio. Tratándose de una ley nueva, que regula espacios hasta ahora desconocidos, convendría dejar bien patente su intención de avanzar en el uso de buenas prácticas para afianzar una nueva cultura de seguridad. Para ello, podría sustituirse la mera imposición de la sanción económica al infractor, por la exigencia de dedicación, en un plazo inferior a tres meses, de presupuesto adicional igual al volumen de la sanción propuesta, destinado a la mejora de la seguridad de la organización.
  • La pluralidad de autoridades con competencia sancionadora eleva el riesgo de discriminación en el tratamiento de las infracciones en sus respectivos ámbitos de competencia. Una vez más, se echa en falta una autoridad de referencia sobre el resto, o el establecimiento de mecanismos de armonización de las sanciones para dar consistencia al régimen sancionador.
  • El artículo 36 tipifica como infracción grave no someterse a una auditoría de seguridad o poner obstáculos a la realizada por la Administración, según lo ordenado por la autoridad competente. Teniendo en cuenta que la supervisión por terceros es el mecanismo fundamental para asegurar el cumplimiento de medidas de seguridad, consideramos que su ausencia debería ser considerada muy grave.
  • Para establecer la cuantía de las sanciones, el órgano sancionador tendrá en cuenta criterios como la utilización por el responsable de programas de recompensa por el descubrimiento de vulnerabilidades en sus redes y sistemas de información, pero no se valora el establecimiento de un proceso de gestión de vulnerabilidades, mucho más extendido en la actualidad y de mucha mayor eficiencia. Tampoco se hace mención a otras medidas preventivas, tales como la concienciación de personal, o si se disponía de información previa sobre las causas que podían dar lugar al incidente.  En definitiva, no puede culpabilizarse a una organización de haber sido escogida como primer objetivo por atacantes que dispongan de vulnerabilidades no tipificadas todavía. Si no se tiene en cuenta esta circunstancia, la organización podría tener una triple penalización: sufrir una incidencia, dedicación de recursos a su rápida resolución y, adicionalmente, una cuantiosa sanción pese a no haber podido tomar ninguna acción que la evitase.
  • El órgano sancionador podrá moderar la cuantía de las sanciones en cuatro supuestos (artículo 39) que indican una especial predisposición del infractor a corregir las infracciones observadas. Cabría plantear un quinto supuesto para aquellas organizaciones que hayan demostrado una actitud diligente hacia el cumplimiento de las medidas que se le hayan requerido y se hayan sometido a procesos de auditoría y monitorización por entidades o agencias terceras solventes e independientes. Sería esta una forma de incentivar los procesos de auditorías voluntarias y, en definitiva, de contribuir a la mejora de la seguridad de las redes y sistemas.

Armonización del bloque normativo de seguridad: impacto en la Ley de Seguridad Privada y en la Ley PIC 

La coherencia que venimos reclamando desde el inicio de este análisis como  garantía de robustez en el bloque normativo de seguridad puede requerir una revisión y actualización de otras normas ya vigentes. Tal es el caso de la Ley de Seguridad Privada, en su momento pionera en regular la seguridad informática, cuyo, aún pendiente, reglamento de desarrollo deberá tener en cuenta las previsiones establecidas en esta ley en cuanto a medidas de seguridad, requisitos a las empresas proveedoras y notificación de incidentes.

Más delicada es la situación de la Ley PIC, que deberá adaptarse al juego de autoridades y competencias establecido en esta ley. Especialmente, la Administración deberá plantearse si, a la vista de la experiencia adquirida y del rumbo marcado por la Directiva 2016/1148, es conveniente incorporar un régimen sancionador para armonizar ambas leyes en materia de incumplimientos de seguridad de los operadores críticos.

Del acierto de nuestras autoridades a la hora de homogeneizar el tratamiento de las mismas cuestiones desde diferentes ópticas dependerá la consistencia de nuestro bloque normativo de seguridad y, en definitiva, la más adecuada provisión de servicios esenciales. En este sentido, la Administración, a la hora de establecer la regulación, debe contar sin ningún tipo de recelo con el sector privado, en la inteligencia de que su madurez y su gran conocimiento de la realidad en el entorno regulado darán a sus aportaciones un valor incalculable.

En este punto, resulta aleccionador el contenido de la Comunicación de la Comisión Europea al Consejo y al Parlamento Europeo, de 20 de octubre de 2004, sobre prevención, preparación y respuesta a los ataques terroristas [COM (2004) 698] propugnando diversas acciones para integrar los objetivos de seguridad en numerosas políticas comunitarias:

“La Comisión considera que es necesario hacer partícipe cuanto antes al sector privado en la definición y la obtención de nuevas soluciones con el fin de reforzar la seguridad de los bienes y servicios. La participación estructurada del sector privado en la elaboración de normas, prácticas y procedimientos para la mejora de su seguridad  debería contribuir, en la medida de lo posible, a evitar la imposición de nuevas exigencias legislativas a la industria”. 

Volver