Reglamento NIS Publicado el Reglamento de Seguridad de las Redes y Sistemas de la Información

Reglamento NIS
Enrique González Herrero

El Boletín Oficial del Estado ha publicado ayer el Reglamento de Seguridad de las Redes y Sistemas de la Información (Reglamento NIS). Una norma que tiene como finalidad desarrollar la Ley NIS, aprobada mediante Real Decreto-ley en 2018, en cuanto al marco institucional en la materia, la cooperación y coordinación, la gestión y notificación de incidentes, las medidas a implementar, la supervisión de los requisitos de ciberseguridad o la función del CISO.

El Reglamento NIS afecta a los operadores y proveedores de servicios esenciales con actividad en España. No obstante, quedan excluidos de su ámbito de aplicación los operadores de redes y servicios de comunicaciones electrónicas y los prestadores de servicios electrónicos de confianza que no sean designados como operadores críticos. Tampoco estarán sujetos a esta norma los proveedores de servicios digitales cuando se trate de microempresas o pequeñas empresas.

Autoridades competentes del Reglamento NIS

La nueva norma especifica que las autoridades competentes en ciberseguridad serán, con carácter general, las que recoge la Ley NIS (es decir, las secretarías de Estado de Seguridad, Defensa y para el Avance Digital a través de diferentes órganos). Sin embargo, también designa autoridades competentes para los operadores privados de servicios esenciales que no sean críticos. En ese sentido, el reglamento NIS señala los organismos responsables para los sectores de transporte, energía, TIC, sistema financiero, espacio, industria química, instalaciones de investigación, salud, agua, alimentación e industria nuclear.

Notificación de incidentes de ciberseguridad

Otro de los aspectos importantes del Reglamento NIS es el establecimiento de un sistema de cooperación y coordinación entre los CSIRT (equipos de respuesta a incidentes de seguridad) de referencia. Para ello, la norma crea la Plataforma Nacional de Notificación y Seguimiento de Ciberincidentes, que permitirá el intercambio de información y el seguimiento de incidentes entre los operadores de servicios esenciales o proveedores de servicios digitales, las autoridades competentes y los CSIRT de referencia. Esta plataforma dispondrá de varios canales de comunicación seguros para su uso por parte de las autoridades competentes y los CSIRT de referencia. Asimismo, este instrumento garantizará su disponibilidad, autenticidad, integridad y confidencialidad de la información.

Punto de contacto único

El Departamento de Seguridad Nacional es el punto de contacto único para ejercer de enlace entre autoridades competentes nacionales y de la Unión Europea, el Grupo de Cooperación Europeo y la red de CRSIT. El reglamento recién publicado especifica las funciones de este organismo, entre las que se encuentra comunicar a la Comisión Europea la lista de operadores de servicios esenciales nacionales establecidos para cada sector y subsector, transmitir los puntos de contacto de otros Estados miembros de la Unión afectados la información sobre incidentes con impacto transfronterizo o remitir a los CSIRT de referencia y a las autoridades competentes nacionales la información sobre incidentes con efectos perturbadores en los servicios esenciales.

El responsable de Seguridad de la Información

Uno de los aspectos destacados del Reglamento NIS es la función que desempeñará el CISO en este marco normativo. Los operadores de servicios esenciales tendrán que designar a una persona como responsable de la seguridad de la información para que ejerza las funciones de punto de contacto y coordinación con las autoridades competentes y CSIRT de referencia. Estos profesionales tendrán bajo su cometido funciones como elaborar las políticas de seguridad para gestionar los riesgos para la seguridad de las redes y sistemas de información y reducir el impacto de los ciberincidentes.

Entre otras actividades, también tendrá que supervisar y desarrollar la aplicación de las políticas de seguridad, normativas y procedimientos; elaborar una Declaración de Aplicabilidad de las medidas de seguridad; actuar como capacitador de buenas prácticas en seguridad de las redes y sistemas de información, tanto en aspectos físicos como lógicos; o notificar los incidentes perturbadores a la autoridad competente.

El Reglamento NIS recoge asimismo el procedimiento de gestión de incidentes de seguridad, el proceso de notificación a través de la Plataforma Nacional de Notificación y Seguimiento de Ciberincidentes, así como el mecanismo de supervisión de cumplimiento de obligaciones de seguridad y notificación de incidentes.

Accede al Reglamento NIS