Cabecera Home
Revista Seguritecnia Edición impresa
Valoración
  • Actualmente 0 de 5 Estrellas.
Tu valoración
  • Actualmente 0 de 5 Estrellas.
  • 1
  • 2
  • 3
  • 4
  • 5
OPINIÓN

Juan José Zurdo Santamaría, Jefe del Servicio de Normativa y Coordinación del CNPIC

Sistema PIC y Directiva NIS: simbiosis normativa

En nuestra compleja sociedad actual, en la que convergen varias administraciones (europea, nacional, regional y local), se crean todo tipo de normas jurídicas: sectoriales, transversales, nacionales, territoriales, generales, especiales, etc., que obligan al ciudadano medio a conocerlas bajo la máxima de que “la ignorancia de las leyes no excusa de su cumplimiento”, por lo que una persona debe ser prácticamente una enciclopedia andante para no cometer alguna irregularidad en las normas que le son aplicables.

Cierto es que, necesariamente, las sociedades complejas requieren un extraordinario número de normas que regulen la infinidad de relaciones jurídicas que se crean a diario como consecuencia de vivir en una sociedad avanzada y moderna. Pero esas sociedades no deben caer en verborreas normativas que generen duplicidades innecesarias o inseguridad jurídica por exceso, no sabiendo con seguridad a qué concreta norma deben atenerse sus ciudadanos. Por ello, es obligación de los poderes públicos que las normas que nos regulen sean claras, no establezcan dobles imposiciones y no sean contradictorias con otras que también nos puedan afectar.

Estamos viviendo una época de profunda transformación de nuestra sociedad marcada por el acceso a la información que nos proporcionan las redes y los sistemas. Esta revolución tecnológica, que nos está permitiendo evolucionar vertiginosamente, tiene una contrapartida: los riesgos asociados. Nos enfrentamos a nuevas amenazas casi a diario y la magnitud del impacto de las amenazas futuras es una incertidumbre. Por ello, el concepto de la seguridad está evolucionando hacia la llamada seguridad integral, la gestión integral de la seguridad física con la ciberseguridad. En la aplicación de este nuevo concepto se han visto involucradas, en mayor medida, las entidades que prestan servicios esenciales, entre otras causas, por las obligaciones que se les imponen desde distintas regulaciones.

La predisposición de las mismas a reforzar su seguridad se ve muchas veces condicionada a la percepción que tengan sobre sus propias vulnerabilidades en relación a las amenazas conocidas. Y en ese punto, un dato objetivo que no debe obviarse es el avance inexorable de la ciberdelincuencia y el ciberterrorismo.

Nuevas estructuras

El Ministerio del Interior está teniendo en cuenta esta realidad. Así, el nuevo Real Decreto 770/2017, de 28 de julio, por el que se desarrolla su estructura orgánica básica, ha consolidado a la Oficina de Coordinación Cibernética (OCC) no solo como el órgano de coordinación técnica en materia de ciberseguridad entre la Secretaría de Estado de Seguridad y sus organismos dependientes, sino también como el canal específico de comunicación entre los operadores de servicios esenciales y los centros de respuesta a incidentes cibernéticos (CERT o CSIRT, por sus siglas en inglés). La OCC realiza sus funciones bajo la dependencia funcional del secretario de Estado de Seguridad y orgánica del Centro Nacional para la Protección de Infraestructuras Críticas (CNPIC) que, con la nueva estructura, ha pasado a llamarse Centro de Protección de Infraestructuras y Ciberseguridad. De este modo, el CNPIC no solo tiene encomendada la protección de todo tipo de infraestructuras estratégicas del Estado –incluyendo, por supuesto, las críticas–; ahora, además, deberá gestionar la ciberseguridad de las cuestiones que afecten a la competencia del Ministerio del Interior.

Por otro lado, y reforzando esta línea estratégica, en las cúpulas tanto de la Policía Nacional como de la Guardia Civil se han creado nuevas estructuras orgánicas(1) con el objetivo prioritario de combatir la ciberdelincuencia y el ciberterrorismo.

Esta apuesta por la ciberseguridad y la ciberdelincuencia debe llevar aparejado un reforzamiento de los medios humanos y tecnológicos en cada uno de los nuevos órganos creados. En este contexto, la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y los sistemas de información en la Unión Europea (UE), es un ejemplo de la preocupación existente por la seguridad de las redes y los sistemas, en este caso de los operadores, ya sean de naturaleza pública o privada, que prestan servicios esenciales a la sociedad. 

Directiva NIS

He tenido la oportunidad de hablar con algunos de los responsables de Seguridad y Enlace de operadores críticos, quienes me han transmitido su preocupación por la futura transposición de la citada disposición normativa –popularmente conocida como Directiva NIS–, prevista para mayo de 2018, dado el posible solapamiento de futuras obligaciones con las ya establecidas en la Ley PIC y su normativa de desarrollo. Por ello, quiero dedicar estas líneas a explicar cómo estamos trabajando para que la confluencia de ambas normas procure un sistema lo más armonizado, eficaz y eficiente posible, de tal forma que los operadores críticos no se vean obligados a cumplir las mismas exigencias por vías distintas ni sufrir dobles imposiciones de la misma naturaleza.

El origen de la Directiva NIS está motivado por la creciente preocupación de los Estados miembros ante la amenaza que representa el ataque a las redes y los sistemas de información de los operadores que prestan servicios esenciales. En su artículo 1.4, establece que la misma se entenderá sin perjuicio, entre otras, de la Directiva 2008/114/CE de 8 de diciembre de 2008 (Directiva PIC), sobre la identificación y designación de infraestructuras críticas europeas y la evaluación de la necesidad de mejorar su protección.

Efectivamente, hay cierta similitud entre ambas normas, pero la Directiva PIC es, a todas luces, insuficiente para cubrir las necesidades de la NIS. La Directiva PIC identifica únicamente dos sectores estratégicos (Energía y Transporte) y, además, limita la identificación de infraestructuras críticas que prestan servicios esenciales a las infraestructuras críticas europeas, es decir, aquellas que afecten a dos o más países de la UE. Por lo tanto, la Directiva PIC no comprende las infraestructuras de ámbito nacional, ni mucho menos todos los sectores a los que ahora se dirige la nueva Directiva NIS. Además, tampoco regula en su articulado aspectos relacionados con la ciberseguridad de los operadores de servicios esenciales ni el reporte de ciberincidencias en su operativa diaria, elementos considerados nucleares en la Directiva NIS.

No obstante, la transposición que en España se hizo de la ya mencionada Directiva 2008/114/CE fue mucho más ambiciosa y extensiva, recogiendo algunos de los conceptos demandados por la Directiva NIS. Entre ellos, la extensión de su ámbito de aplicación a 12 sectores estratégicos (incluyendo, entre ellos, los que ahora recoge la Directiva NIS), la identificación de las infraestructuras críticas nacionales y el refuerzo de la ciberseguridad a través del concepto de seguridad integral.

Por ello, es importante tener en cuenta que, en España, la referencia a la hora de transponer la Directiva NIS, en lo relativo a la provisión de servicios esenciales, no debe ser la Directiva PIC, sino el desarrollo que nuestra propia legislación nacional ha hecho de la misma. Así, en su transposición, a través de la Ley 8/2011 de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas (Ley PIC), y su texto de desarrollo, el Real Decreto 704/2011, de 20 de mayo (Reglamento PIC), se fue más allá de las exigencias de la propia Directiva PIC, regulando aspectos que no estaban considerados en la misma.

Por ello, invocando al espíritu del principio de eficiencia jurídica, debemos respetar lo ya regulado a la hora de desarrollar otra norma que, sin ser idéntica a la anterior, responde a los mismos fines.

¿Qué puede ser de utilidad en el sistema PIC nacional para la transposición de la Directiva NIS? 

  • Sectores estratégicos. La Ley PIC establece como sectores estratégicos los dos referidos en la Directiva PIC (Energía y Transporte) y otros en la misma línea que la Directiva NIS (Sistema Financiero y Tributario, Tecnologías de la Información y las Comunicaciones, Salud y Agua). Además, amplía sectores no considerandos por la Directiva NIS (Instalaciones de Investigación, Industria Nuclear, Espacio, Administración, Industria Química y Alimentación). 
  • Servicios esenciales. Este es un concepto clave. La esencia de ambas normas es proteger los servicios esenciales que se prestan en esos sectores estratégicos y garantizarlos en la mayor medida posible. La Directiva NIS establece que se deben valorar, como mínimo para cada uno de los subsectores que se indican en ella, qué servicios han de considerarse esenciales para el mantenimiento de actividades sociales y económicas vitales y determinar si las entidades enumeradas en los sectores y subsectores que prestan esos servicios cumplen los criterios de identificación de los operadores.

En este sentido, la Ley PIC y su reglamento de desarrollo ya establecen mecanismos para identificar los servicios esenciales a través de los Planes Estratégicos Sectoriales (PES)(2). Lo que sí es necesario identificar es si esos servicios dependen de redes y sistemas de información para considerarlos como servicios esenciales NIS. Por ello, y con el fin de identificar estos últimos, debemos acudir al Catálogo Nacional de Infraestructuras Estratégicas regulado en la Ley PIC, donde figuran todas las infraestructuras que prestan servicios esenciales, entre las cuales se encuentran no solo activos físicos, sino también las redes y los sistemas que proporcionan, en su caso, dichos servicios. 

  • Operadores críticos y operadores de servicios esenciales. El concepto de operador crítico (entidad u organismo que presta un servicio esencial de carácter indispensable y que, en el caso de destrucción o perturbación, tendría un grave impacto) debe aprovecharse para identificar a los operadores esenciales NIS de primer orden. El concepto de operador esencial tiene un calado inferior al concepto de operador crítico, pero, siempre que el servicio que preste dependa de las redes y los sistemas de información, debe ser considerado sujeto obligado en la Ley NIS. Por ello, es necesario alinear el contenido de la Ley PIC con el de la nueva Ley NIS, evitando de este modo crear inseguridad jurídica a los operadores.

 El segundo nivel de operador de servicio esencial es el que corresponde a los operadores esenciales que no sean críticos. Aunque estos no han sido identificados profusamente al no exigir la Ley PIC obligaciones para los mismos, sin embargo, la fórmula para identificarlos también podemos encontrarla en la Ley PIC. Así, pueden ser útiles tanto el Grupo de Trabajo PIC, para desarrollar el proceso de identificación de estos operadores, como la Comisión Nacional PIC, para designarlos, aprovechando el mismo procedimiento de identificación y designación que se hace con los operadores críticos. 

  • Ciberseguridad. La normativa PIC establece el concepto de seguridad integral en la gestión de las infraestructuras y sistemas críticos, considerando la seguridad física y la ciberseguridad como un “todo indivisible” que los operadores deben gestionar desde una sola estrategia. Este concepto, mucho más ambicioso que el de seguridad regulado en la Directiva PIC, permite identificar, a través de la normativa de planificación y desarrollo –guías de contenidos mínimos de los Planes de Seguridad del Operador (PSO) y Planes de Protección Específicos (PPE)–, interdependencias con proveedores de servicios TIC de los operadores de servicios esenciales contratados, posibles vulnerabilidades y otros importantes datos referentes a la ciberseguridad que coinciden, en gran medida, con los requerimientos de la Directiva NIS.

 Además, los CSIRT nacionales ya están trabajando en la resolución de incidentes de operadores de servicios esenciales tanto a través del CERTSI, para operadores críticos, como del CCN-CERT, para operadores públicos, ya sean críticos o no. En este sentido, se deberá reflejar en la nueva norma, para mayor seguridad jurídica de los operadores, a qué CERT deben reportar sus incidentes, sin perjuicio de reforzar la necesaria colaboración y coordinación entre ellos para alcanzar cotas óptimas de eficacia y eficiencia. 

  •  Y en la nueva Ley NIS también debe jugar un papel relevante la OCC, ejerciendo como canal específico de comunicación entre los operadores y los CSIRT nacionales de referencia, así como con la Secretaría de Estado de Seguridad, desempeñando la coordinación técnica en materia de ciberseguridad entre dicha Secretaría de Estado y sus organismos dependientes, sin perjuicio de las competencias atribuidas a otros ministerios.

Para leer el artículo completo accede a este enlace

Volver