seguritecnia 456

61 SEGURITECNIA Septiembre 2018 Actualidad ciber La trasposición de la Directiva relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión Europea (conocida como Directiva NIS), se hizo efectiva el 8 de septiembre con la publicación en el Boletín Oficial del Estado del Real Decreto-ley 12/2018. La medida se ha aprobado con carác- ter de urgencia ante el riesgo de sanción por parte de la Comisión Europea a Es- paña al no haber cumplido a tiempo el plazo de adaptación estipulado. No obs- tante, ya existía un anteproyecto de esta norma y se había llevado a cabo un pro- ceso de consulta pública. Esta norma se aplicará a los operado- res de servicios esenciales dependientes de las redes y sistemas de información y a los proveedores de servicios digitales, si bien no estarán sujetos a ella los opera- dores de redes y servicios de comunica- ciones electrónicas que no sean designa- dos operadores críticos ni las pequeñas empresa o microempresas. Este Real decreto-ley de Seguridad de las Redes y Sistemas de la Información está alineado con la normativa sobre pro- tección de infraestructuras críticas (PIC). De hecho, su ámbito excede al de la pro- pia Directiva NIS y abarca a los 12 secto- res afectados por la Ley PIC. La Comisión Nacional de Infraestructuras Críticas será además la encargada de realizar el primer listado de servicios esenciales afectados por sus disposiciones. Notificación de incidentes El apartado de notificación de inciden- tes de seguridad era uno de los aspectos que más expectación han despertado. El real decreto-ley identifica a las autorida- des competentes que deberán recibir las alertas. La Secretaría de Estado de Segu- ridad, a través del Centro Nacional de In- fraestructuras y Ciberseguridad, será la autoridad de referencia para los operado- res críticos. La Secretaría de Estado para España traspone la directiva europea sobre seguridad de las redes y la información a través de un real decreto-ley el Avance Digital del Ministerio de Eco- nomía y Empresa será la referencia para los proveedores de servicios digitales. Por último, el Centro Criptológico Nacio- nal ejercerá de autoridad en el caso de los operadores de servicios esenciales y proveedores de servicios digitales de ca- rácter público, excluyendo en este caso a los críticos. El real decreto-ley requiere a los opera- dores de servicios esenciales y a los pro- veedores de servicios digitales que notifi- quen a la autoridad competente los inci- dentes significativos que sufran. Deberán hacerlo a través de los CSIRT (centros de respuesta ante incidentes de ciberseguri- dad) de referencia y mediante una plata- forma común. La norma protege, no obstante, la in- formación confidencial que resulte de es- tas comunicaciones, si bien habilita a las autoridades de referencia a poder divul- gar públicamente o a otras autoridades los incidentes que se produzcan. Mejora de la coordinación Este real decreto-ley establece mecanis- mos de coordinación entre las autorida- des de referencia y también con el sec- tor privado y las Fuerzas y Cuerpos de Seguridad del Estado. Incluso el Ministe- rio de Defensa, a través de su centro de respuesta a incidentes, el ESPDEF-CERT, cooperará con el CCN-CERT y el INCIBE- CERT en situaciones de necesidad. Con esta transposición se busca mejo- rar la eficacia en la lucha contra los deli- tos que involucran a las redes y a los sis- temas de información reduciendo sus efectos en la seguridad pública y, even- tualmente, en la seguridad nacional. Régimen sancionador Los operadores y prestadores de servi- cios que no cumplan la ley se exponen a sanciones que irán desde amonesta- ciones o multas hasta 100.000 euros en el caso de infracciones leves, hasta mul- tas que pueden llegar al millón de euros en los casos graves. Aun así, el algunos supuestos, los órganos con competen- cia sancionadora podrán apercibir a la organización responsable de una infrac- ción para que adopte medidas correcto- ras en un plazo determinado para no ser multada. S