seguritecnia 449

52 SEGURITECNIA Enero 2018 Autoridades competentes y CSIRT En cuanto a los proveedores de ser- vicios digitales, el artículo 7 exige que comuniquen su condición a la auto- ridad competente, a los meros efec- tos de su conocimiento. No obstante, la relativa complejidad del sistema de autoridades competentes debería sos- layarse mediante la existencia de una autoridad de referencia , que pueda guiar a estos proveedores a su incor- poración al sistema. En todo caso, de- bería explicitarse la forma, punto de contacto y modelo para la comuni- cación a la autoridad competente del inicio de actividad o, al menos, diferir expresamente su concreción al poste- rior desarrollo reglamentario. Esa misma complejidad del sistema de autoridades competentes consti- tuye el principal problema de la so- lución ofrecida por la ley para equi- librar el entramado de órganos que vienen ya actuando en materia de re- des y sistemas. En efecto, la atribución de autoridad al mismo nivel a diferen- tes órganos y para diferentes ámbi- tos puede dar lugar a ciertos desequi- librios o, al menos, descoordinaciones entre las distintas autoridades. Aunque se atribuye al Consejo de Seguridad Nacional la capacidad para establecer los mecanismos necesarios para la coordinación de las actuacio- Otro punto que es importante desta- car es el establecimiento de equipos de respuesta a incidentes de seguri- dad informática (CSIRT), que permi- ten unificar y centralizar en un único punto (el Consejo de Seguridad Nacio- nal) las acciones a realizar con el fin de hacer frente a incidentes de seguridad que pueden afectar a todos los aspec- tos de la sociedad en su conjunto y que permiten también una comunica- ción, cooperación y centralización de las repuestas que se puedan dar a ni- vel europeo a incidentes que, como hemos visto en el pasado, son trans- fronterizos. Estamos realmente expec- tantes por conocer cómo se va a arti- cular operativamente este CSIRT entre todos los afectados. En relación con la propia directiva, al margen de lo acertado o no de ex- cluir de su aplicación a las pequeñas y microempresas, llama la atención que se omite toda referencia a una estrategia nacional de seguridad de las redes y sistemas de informa- ción, que en aquella se incluía entre las definiciones del artículo 4. En el anteproyecto, esta estrategia se con- sidera implícitamente subsumida en la estrategia de ciberseguridad nacio- nal, pero lo cierto es que, con su eli- minación expresa, se corre el riesgo de descontextualizar el marco de re- ferencia de la ley. en el que se establece el concepto de operador de servicios esencia- les como sujeto sometido a esta ley, independientemente de su propia criticidad. Hay una cierta falta de co- herencia con la Ley PIC, toda vez que en ésta ya se definen los servicios esenciales y las infraestructuras es- tratégicas que les dan soporte, como paso previo a la introducción del con- cepto de operador crítico, auténtico sujeto obligado de la ley. Teniendo en cuenta que en el anteproyecto de Ley NIS se prevé su aplicación úni- camente a aquellos proveedores de servicios esenciales en los que con- curran las circunstancias previstas en el artículo 6.2, la condición de sujeto obligado debería restringirse a un grupo de operadores seleccionados por su criticidad, a semejanza de los operadores críticos en el ámbito de la protección de infraestructuras crí- ticas (PIC). Por otra parte, en el borrador se de- fine servicio digital como aquel ser- vicio de la sociedad de la informa- ción entendido en el sentido reco- gido en la letra a) del anexo de la Ley 34/2002, de servicios de la sociedad de la información y de comercio elec- trónico. En su virtud, sería un servi- cio digital “todo servicio prestado a distancia, por vía electrónica y a pe- tición individual del destinatario”, lo que incluye, entre otros, la contra- tación de bienes o servicios por vía electrónica, el envío de comunicacio- nes comerciales o incluso el suminis- tro de información por vía telemática. Esta definición es mucho más am- plia que la recogida en el anexo III de la directiva, que se restringe a los mercados y los motores de bús- queda en línea y los servicios de computación en la nube. Esta de- finición amplia supone que el im- pacto será mayor que el previsto en la directiva o incluso que el de- sarrollo de la directiva a nivel euro- peo no sea de aplicación a la mayo- ría de los servicios recogidos en el borrador NIS. A vista de