seguritecnia 448

18 SEGURITECNIA Diciembre 2017 Actualidad Por Enrique González Herrero. El Ministerio de Energía, Turismo y Agenda Digital (Minetad) ha sacado a au- diencia pública (hasta el 8 de enero de 2018) el Anteproyecto de Ley sobre la Se- guridad de Redes y Sistemas de Informa- ción, qué traspondrá al ordenamiento ju- rídico español la conocida como Direc- tiva NIS (Directiva 2016/1148, relativa a las medidas destinadas a garantizar un ele- vado nivel común de seguridad de las redes y sistemas de información de la Unión). La norma tiene por objeto “regu- lar la seguridad de las redes y sistemas de información utilizados para la provisión de los servicios esenciales y de los servi- cios digitales y establecer un sistema de notificación de incidentes”. Según indica el anteproyecto, esta ley se aplicará a los servicios esenciales de- pendientes de las redes y sistemas de la información enmarcados en alguno de los 12 sectores definidos en la Ley sobre Protección de las Infraestructuras Críti- cas. Asimismo, estarán sujetos a ella los servicios digitales que sean mercados en línea, motores de búsqueda y servi- cios de computación en la nube. Es de- cir, operadores de servicios esenciales y proveedores de servicios digitales ten- drán pues que adoptar medidas técni- cas y de organización “adecuadas y pro- porcionadas para gestionar los riesgos que se planteen para la seguridad de las redes y sistemas de información utiliza- dos en la prestación de los servicios su- jetos a esta ley”. Dichas medidas se es- pecificarán a través del desarrollo regla- mentario de la norma. Para atender el mandato de la Direc- tiva NIS, el anteproyecto establece que sea el Consejo de Seguridad Nacional, a través del Departamento de Seguri- dad Nacional, el que ejercerá de punto de contacto único para atender las fun- ciones de enlace que permitan la co- operación entre Estados miembros de la Unión Europea, así como con el Grupo de Cooperación y la red comunitaria de CSIRT (equipos de respuesta ante emer- gencias informáticas). Notificación de incidentes Uno de los aspectos que ha despertado mayor interés en esta transposición es la comunicación de percances de ciberse- guridad. El anteproyecto recoge el de- ber de notificar “a la autoridad compe- tente, a través del CSIRT de referencia, los incidentes que puedan tener efectos significativos en dichos servicios”. Dichas “autoridades competentes” va- rían según diferentes categorías. Para los operadores críticos será la Secretaría de Estado de Seguridad, a través del Centro Nacional de Protección de Infraestruc- turas y Ciberseguridad, mientras que los operadores que sean estratégicos pero no críticos tendrán como referencia a “la autoridad sectorial correspondiente, se- gún se determine reglamentariamente”. Por su parte, los proveedores de servi- cios digitales tendrán como referencia a la Secretaría de Estado para la Sociedad de la Información y la Agenda Digital, si bien no especifica un organismo concreto. Finalmente, la autoridad competente para los operadores de servicios esencia- les y proveedores de servicios digitales de carácter público, que no sean críticos, será el Ministerio de Presidencia, a través del Centro Criptológico Nacional. El anteproyecto, que contiene 42 ar- tículos divididos en siete títulos, aborda otros muchos aspectos como las funcio- nes de las autoridades competentes, los requisitos y funciones de los CSIRT de re- ferencia, la cooperación con otras autori- dades, la confidencialidad de la informa- ción sensible, la autorización para la ce- sión de datos personales o la supervisión de los operadores de servicios esenciales y proveedores digitales. También establece un régimen de sanciones, clasificadas en infracciones muy graves, graves y leves. Las prime- ras supondrían multas de entre 500.001 y un millón de euros, las graves de entre 100.001 y 500.000 euros y las leves con- llevarían amonestaciones o multas hasta los 100.000 euros. Además, las infraccio- nes muy graves o graves “podrán ser pu- blicadas, a costa del sancionado, en el Boletín Oficial del Estado y en el sitio de internet de la autoridad competente”. Las observaciones a este anteproyecto de ley podrán presentarse hasta el 8 de enero de 2018 y deberán cursarse a través del correo electrónico: [email protected] . S El Minetad abre audiencia pública para el Anteproyecto de Ley sobre la Seguridad de las Redes y Sistemas de Información