seguritecnia 456

7 SEGURITECNIA Septiembre 2018 Editorial “Ser lo que soy, no es nada sin la Seguridad” (Shakespeare) C on carácter urgente, pero tras un proceso de consulta previo con los agentes del sector, el Gobierno aprobó el 7 de septiembre el Real Decreto-Ley sobre Seguridad de las Redes y Sistema de Informa- ción. La medida, que transpone al ordenamiento jurídico español la directiva europea sobre la mate- ria (conocida como Directiva NIS), ha llegado con cierto retraso y la advertencia de sanción por parte de la Co- misión Europea, al no haber cumplido España la fecha límite para adaptarse a la norma europea. Dicha cir- cunstancia no debe restar trascendencia a esta regla que contribuirá a mejorar la protección los servicios esenciales y digitales en el entorno del ciberespacio. Especialmente la de las entidades designadas como críti- cas para la sociedad; es decir, aquellas insustituibles cuyo menoscabo tendría un impacto de grandes dimensiones. Precisamente, uno de los principales aspectos que destacan del real decreto-ley es su alineamiento con la regulación sobre protección de las infraestructuras críticas, ampliando incluso el ámbito de la Direc- tiva NIS a los sectores sujetos a la Ley PIC. De hecho, la Comisión Na- cional para la Protección de las Infraestructuras Críticas será el órgano encargado de aprobar una primera relación de los servicios esencia- les que estarán sujetos a la disposición recien aprobada y el Centro Nacional de Infraestructuras y Ciberseguridad (CNPIC) ejercerá de au- toridad competente cuando se trate de servicios críticos. En definitiva, esta norma supone un complemento a las medidas ya implantadas por la normativa PIC, en línea con su carácter integral. No obstante, por su novedad y dado que la “Ley NIS” está sujeta a un desarrollo reglamentario, convendría acompañar ese proceso de una actualización también de las normas sobre protección de infraes- tructuras críticas. Algunos aspectos del real decreto-ley podrían dar lugar a discrepancias con la Ley PIC, como las competencias del personal de enlace u otras motivadas por la existencia de un régimen sancionador en una ley, que no aparece en la otra. Esos y otros aspectos han de encajar para no crear disparidades de criterio en su aplicación. Volviendo al ámbito exclusivo de la Ley NIS, otro aspecto a destacar es la designación de una “ventanilla única” para que las organizaciones notifiquen sus brechas de seguridad (como exige la Directiva NIS). La Se- cretaría de Estado de Seguridad, a través del CNPIC, el Centro Criptológico Nacional o la Secretaria de Estado para el Avance Digital serán los órganos encargados de recibir los incidentes, a través de su CSIRT (equipo de respuesta a incidentes) de referencia, en función de la naturaleza de la entidad que los transmita (si es pública, privada, crítica…). La nueva norma no solo proporcionará una mejor coordinación y orquestación de la res- puesta entre los citados organismos, sino también con el sector privado y con las Fuerzas y Cuerpos de Segu- ridad del Estado. Ello permitirá una optimización de la gestión y la respuesta a los incidentes, así como contri- buirá a la mejora de la investigación de los ciberdelitos. En definitiva, permitirá que la sociedad en su conjunto esté más protegida y prevenida frente a las amenazas en la Red. S Ley NIS: servicios esenciales más seguros Convendría acompañar la nueva normativa de una actualización también de las normas sobre protección de infraestructuras crítcas