seguritecnia 460

68 SEGURITECNIA Enero 2019 Ciberseguridad Este real decreto-ley (en adelante Ley NIS) afecta, por un lado, a los opera- dores de servicios esenciales; es decir, aquellos necesarios “para el manteni- miento de las funciones sociales bási- cas, la salud, la seguridad, el bienestar social y económico de los ciudadanos, o el eficaz funcionamiento de las ins- tituciones del Estado y las administra- ciones públicas, que dependan para su provisión de redes y sistemas de infor- mación”, según la definición que recoge la propia norma. Por extensión, las infraestructuras crí- ticas también verán incrementada su se- guridad de la información. De ahí que la Ley NIS se haya alineado con la nor- mativa sobre esa materia y sea la Comi- sión Nacional para la Protección de las Infraestructuras Críticas la que se encar- gará de identificar cuáles son los servi- cios esenciales sujetos a ella. De hecho, la nueva norma va más allá del ámbito establecido por la UE en la Directiva NIS y se extiende a los 12 sectores estratégi- cos que marca la Ley PIC española. Por otro lado, además de los ope- radores estratégicos, la Ley NIS obliga igualmente a los proveedores de servi- cios digitales que sean motores de bús- queda, mercados en línea o de com- putación en la nube (excepto cuando se trate de pequeñas empresas o mi- croempresas). Autoridades competentes Uno de los aspectos más destacados de esta norma es que dibuja un marco de colaboración institucional y estraté- gico. La Ley NIS identifica a diferentes autoridades de referencia, según el tipo operador o proveedor del que se trate. Estas autoridades se harán cargo, entre otras funciones, de supervisar el cum- plimiento de esta ley, establecer obliga- ciones específicas, colaborar con otras autoridades, dictar guías y normas o sancionar a quienes la incumplan. Serán también las que recibirán, a través de los CSIRT asignados, las notificaciones sobre incidentes de ciberseguridad que produzcan “efectos perturbadores” para las empresas o administraciones sujetas a esta regulación. Las autoridades com- petentes son: La Secretaría de Estado de Seguridad, a través del Centro Nacional de Pro- tección de Infraestructuras y Ciber- seguridad (CNPIC ), en el caso de los operadores críticos. El Ministerio de Defensa, a través del Centro Criptológico Nacional , para aquellos operadores estratégicos y proveedores de servicios digitales de ámbito público que no sean críticos. La Secretaría de Estado para el Avance Digital , del Ministerio de Eco- L a ciberseguridad de las infraes- tructuras estratégicas españo- las acaba de recibir un fuerte impulso a través del Real Decreto-Ley de Seguridad de las Redes y Sistemas de la Información, aprobado el 7 de septiembre. Con esta norma, España traspone a su ordenamiento jurídico la directiva europea sobre la materia, la conocida como Directiva NIS, que es- tablece un marco común de seguridad en la Red en toda la UE y refuerza las medidas de protección en el entorno virtual. La medida llega con retraso, ya que el 9 de mayo finalizó el plazo con- cedido por la Comisión Europea para su adaptación a las legislaciones nacio- nales (de hecho Bruselas ya ha iniciado un procedimiento formal de infracción); pero con ella España se pone al día y, lo más importante, refuerza el marco de seguridad de los servicios más impor- tantes para la sociedad. Con la colaboración de: España traspone la Directiva NIS Ley NIS: nuevo impulso a la ciberseguridad El Real Decreto-ley de Seguridad de las Redes y Sistemas de la Información se ha aprobado recientemente para traspo- ner la Directiva NIS. Hacemos una síntesis de las claves de esta norma, que afecta a los servicios esenciales y digitales. Por Enrique González Herrero.