seguritecnia 460

SEGURITECNIA Enero 2019 69 Ciberseguridad nomía y Empresa, para los proveedo- res de servicios digitales privados. La norma, no obstante, deja pen- diente para el posterior desarrollo re- glamentario cuáles serán las autorida- des sectoriales correspondientes para aquellos operadores de servicios esen- ciales que no sean críticos y que no pertenezcan al sector público. Notificación de incidentes Una de las disposiciones más contro- vertidas que introdujo la Directiva NIS es la obligación de que las empresas notifiquen los incidentes de ciberse- guridad. Para ello, y con el objetivo de conseguir una mejor respuesta a los ataques, también implantó la ne- cesidad de que los Estados miembros creen una “ventanilla única” a través de la cual comunicar esos percances. La Ley NIS establece fundamentalmente dos CSIRT de referencia para trasladar esos incidentes y uno de apoyo para casos de especial necesidad, que son: El CCN-CERT , que atenderá las no- tificaciones de las entidades de ám- bito público. Este centro ha sido de- signado además como “coordina- dor nacional” de la respuesta técnica de los CSIRT en los casos de especial gravedad y que requieran una actua- ción conjunta. El Incibe-CERT recibirá las comunica- ciones de los operadores críticos y de los proveedores de servicios digita- les que no sean públicos. Igualmente será el CSIRT de referencia para ciuda- danos y entidades privadas. El ESPDEF-CERT , del Ministerio de Defensa, cooperará con los anterio- res en aquellos casos de especial ne- cesidad o de carácter militar. La nueva norma prevé la creación de una “plataforma común” de notificación de incidentes para facilitar y automa- tizar esas comunicaciones. Esta herra- mienta también podrá emplearse para trasladar las vulneraciones de seguridad relacionadas con los datos personales, según establece el Reglamento General de Protección de Datos. El real decreto-ley incluye una serie de factores que orientan a la hora de valorar cuándo es necesario notificar un incidente, si bien no es nada pre- cisa y remite para mayor concreción a la decisión que adopte la Comisión Eu- ropea al respecto. La Ley NIS, de nuevo en línea con la normativa PIC, consi- dera que son indicadores de esa ne- cesidad: el número de usuarios afec- tados, la duración del incidente, su ex- tensión, el grado de perturbación que origine, el alcance del impacto en ac- tividades económicas y sociales crucia- les, la importancia de los sistemas o in- formación afectados y el daño a la re- putación. La medida protege, no obstante, la información confidencial que resulte de estas comunicaciones, pero a su vez habilita a las autoridades de refe- rencia para divulgar públicamente o a otras autoridades los incidentes. En ese caso, obviarán aquella información que pueda perjudicar a la organización afectada. Cooperación La cooperación a todos los niveles es otra de las bases de esta Ley NIS, tanto a escala nacional como interna- cional. La regulación establece víncu- los entre autoridades y con las empre- sas para facilitar y mejorar la atención a incidentes como, por ejemplo, el de WannaCry. El Consejo de Seguridad Nacional ejercerá, a través del Departamento de Seguridad Nacional, la función de enlace que garantice la coopera- ción transfronteriza de las autorida- des competentes, así como con el grupo de cooperación y la red de CSIRT europea. Medidas de seguridad Otro de los ejes de este texto es la im- plantación de medidas técnicas y or- ganizativas de seguridad frente a los riesgos cibernéticos, que se detalla- rán en el posterior reglamento de de- sarrollo. Además, las autoridades com- petentes podrán establecer otras me- didas específicas y dictar instrucciones técnicas y guías orientativas para im- plementar ese refuerzo. Igualmente destaca la exigencia de nombrar a “la persona, unidad u órgano colegiado responsable de la seguridad de la información, como punto de con- tacto y de coordinación técnica con a la autoridad competente”, cuyas funcio- nes quedarán igualmente para un pos- terior desarrollo. La Ley NIS sienta las bases para con- cretar en el reglamento varios aspec- tos, como la valoración del impacto de algunos ataques, cuáles serán los “su- puestos de especial gravedad” que re- quieran la coordinación de las autori- dades o la notificación de incidentes que no hayan tenido un efecto ad- verso real. Infracciones El capítulo más temido: las infraccio- nes. Los operadores y prestadores de servicios que no cumplan se exponen a sanciones que irán desde amones- taciones o multas hasta 100.000 eu- ros en el caso de infracciones leves, hasta multas que pueden llegar al mi- llón de euros en los casos graves. Aun así, los órganos con competencia san- cionadora podrán apercibir a la orga- nización responsable de una infracción para que adopte medidas correctoras en un plazo determinado para evitar este castigo. S La Directiva NIS obliga a que las empresas notifiquen los incidentes de ciberseguridad