En este artículo analizaremos una norma recién publicada: el Real Decreto 43/2021, de 26 de enero, por el que se desarrolla el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información (a partir de ahora “la norma”). El alcance del artículo se ciñe a lo referente a las implicaciones para las empresas que no sean necesariamente operadores esenciales ni infraestructuras críticas, así como a analizar de dónde emana esta norma con el fin de situar su contexto.
Normativa de referencia mínima
Empezaremos por la Directiva NIS (2016). No obstante, antes realizaremos un apunte: las directivas son actos legislativos en los cuales se establecen los objetivos que todos los países de la Unión Europea deben cumplir. Sin embargo, corresponde a cada país elaborar sus propias leyes sobre cómo alcanzar esos objetivos.
Como Directiva NIS se conoce coloquialmente a la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo de 6 de julio de 2016.
Esta norma dispone de un enfoque referente a lo público (los estados) y otro que habla claramente de lo privado: «…los operadores de servicios esenciales y los proveedores de servicios digitales deben estar sujetos a requisitos en materia de seguridad y notificación de incidentes, con el fin de fomentar una cultura de gestión de riesgos y garantizar que se informe de los incidentes más graves».
El Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información transpone al ordenamiento jurídico español la Directiva NIS anteriormente citada.
La Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas y su normativa de desarrollo, y en particular el Real Decreto 704/2011, de 20 de mayo, por el que se aprueba el Reglamento de protección de las infraestructuras críticas, son imprescindibles por su vinculación directa con la norma.
La norma
Su objeto es desarrollar el Real Decreto-ley 12/2018 en lo relativo al marco estratégico e institucional de seguridad de las redes y sistemas de información, la supervisión del cumplimiento de las obligaciones de seguridad de los operadores de servicios esenciales y de los proveedores de servicios digitales y, por último, a la gestión de incidentes de seguridad.
En cuanto a su ámbito de aplicación, de conformidad con el artículo 2 del Real Decreto-ley 12/2018, son:
a) Los servicios esenciales dependientes de las redes y sistemas de información (…). Este punto se desarrolla en la normativa anteriormente citada.
b) Los servicios digitales que sean mercados en línea, motores de búsqueda en línea y servicios de computación en la nube.
c) Los proveedores de servicios digitales que tengan su sede social en España y que constituya su establecimiento principal en la Unión Europea (…).
La seguridad ha de ser transversal, pero las responsabilidades deben estar jerarquizadas para una gobernanza efectiva del riesgo y del cumplimiento
Sin embargo, este real decreto no se aplicará a:
a) Los operadores de redes y servicios de comunicaciones electrónicas y los prestadores de servicios electrónicos de confianza que no sean designados como operadores críticos en virtud de la Ley 8/2011.
b) Los proveedores de servicios digitales cuando se trate de microempresas o pequeñas empresas (…).
Ojo avisor: salvo existencia de una normativa sectorial específica.
Asimismo, hay que tener en cuenta una serie de conceptos imprescindibles: proveedores de servicios digitales (ver cuadro 1); mercado en línea, motor de búsqueda y servicios de computación en la nube (ver cuadro 2); y microempresa y pequeña empresa (ver cuadro 3).
Obligaciones de ciberseguridad
La norma, cuando llega a las obligaciones de los proveedores de servicios digitales, únicamente contempla la siguiente ambigüedad: los operadores de servicios esenciales y los proveedores de servicios digitales deberán adoptar las medidas técnicas y de organización adecuadas y proporcionadas para gestionar los riesgos que afecten a la seguridad de las redes y sistemas de información utilizados para prestar sus servicios, tanto si se trata de redes y sistemas propios como de proveedores externos.
Gestión de incidentes de seguridad
Se vuelve a una declaración ambigua en el artículo 8: «Los operadores de servicios esenciales y los proveedores de servicios digitales deberán gestionar y resolver los incidentes de seguridad que afecten a las redes y sistemas de información utilizados para la prestación de sus servicios. En el caso de redes y sistemas que no sean propios, los operadores deberán tomar las medidas necesarias para garantizar que dichas acciones se lleven a cabo por los proveedores externos«.
En el punto dos se recoge la solicitud de ayuda especializada: «(…), los operadores de servicios esenciales y los proveedores de servicios digitales podrán solicitar voluntariamente ayuda especializada del CSIRT de referencia para la gestión de los incidentes, debiendo en tales casos atender a las indicaciones que reciban de este para resolver el incidente, mitigar sus efectos y reponer los sistemas afectados».
Esta norma no recoge la obligatoriedad de comunicación de ciberincidentes, pero sí remite al artículo 33 del Reglamento General de Protección de Datos en los apartados 1 y 2 (ver cuadro 4).
Procedimiento de gestión de incidentes de ciberseguridad
Sí aprieta a la Administración por medio de la Plataforma Nacional de Notificación y Seguimiento de Ciberincidentes a la que se refiere el artículo 19.4 del Real Decreto-ley 12/2018, de 7 de septiembre, que permitirá el intercambio de información y el seguimiento de incidentes entre los operadores de servicios esenciales o proveedores de servicios digitales, las autoridades competentes y los CSIRT de referencia de manera segura y confiable, sin perjuicio de los requisitos específicos que apliquen en materia de protección de datos de carácter personal.
Asimismo, la plataforma implementará el procedimiento de notificación y gestión de incidentes, que estará disponible 24/7, y dispondrá de las señaladas capacidades.
Ahora trataremos la figura de la Oficina de Coordinación de Ciberseguridad del Ministerio del Interior (OCC). En cumplimiento de lo dispuesto en el artículo 262 de la Ley de Enjuiciamiento Criminal, la OCC comunicará a la mayor brevedad posible al Ministerio Fiscal y, en su caso, a las unidades orgánicas de Policía Judicial competentes, aquellos incidentes de seguridad que le sean notificados y que revistan carácter presuntamente delictivo, trasladando al tiempo la información que posea en relación con ello. A dicho fin podrá requerir de los operadores afectados o de los CSIRT de referencia cuanta información relacionada con el incidente se estime necesaria.
Labor docente
El anexo es un manual de ciberseguridad en sí mismo donde podemos aprender a categorizar y evaluar los incidentes. Gracias a él disponemos de un glosario de términos de obligado conocimiento en el panorama actual. No obstante, costumbrados a metodologías formativas más evolucionadas, se echa en falta la «gamificación» del Boletín Oficial del Estado.
Conclusión
Desde mi punto de vista, esta norma es bienvenida y necesaria, pero insuficiente. Si queremos tener un ciberespacio seguro es necesario realizar un control sobre el mismo, que no necesariamente una censura. La norma recoge, relativamente, este control con los operadores esenciales, pero no con los proveedores de servicios digitales.
Se ha creado la figura del RSI (responsable de Seguridad de la Información). En la ley de protección de infraestructuras críticas tenemos la figura (obligación de habilitación) del director de Seguridad como responsable de Seguridad y Enlace. Crear una figura paralela en la seguridad de la información, sin un régimen sancionador, es generar una bicefalia en algo que tiene que ser jerárquico. Empresas de calado como Deloitte, Indra, everis, KPMG, PwC… ¿qué obligaciones y funciones va a tener ese RSI sin un régimen sancionador?
No se puede dejar abierta la puerta a la duda en la gestión de la seguridad. La seguridad ha de ser transversal, pero las responsabilidades deben estar jerarquizadas para una gobernanza efectiva del riesgo y del cumplimiento. Si sumamos las figuras en protección de datos personales y de compliance, la maraña aumenta. Perdemos el enfoque de la seguridad global dentro del equilibrio de los cumplimientos normativos.
Al final tenemos que informar cuatro veces por un phishing bancario (pan de cada día).
No podemos olvidar que, en la innombrada Ley 5/2014, de seguridad privada, se establece que las empresas que realicen servicios de seguridad informática están dentro de su ámbito de aplicación. Pero esta ley, de 2014, no dispone todavía de un reglamento que la regule y, por lo tanto, es ineficaz por la ausencia de su normativa de desarrollo, estando vigente el de 1994. Un futuro reglamento donde se recogerán las medidas mínimas necesarias en seguridad informática. Sin este eslabón, la cadena de la normativa en ciberseguridad en España estará coja y no dispondremos de un escenario seguro.
Si tras un incidente de ciberseguridad tenemos que realizar una investigación que aclare los hechos ocurridos y las personas involucradas en ámbitos mercantiles, laborales, familiares… ¿quién es el perfil en nuestra normativa habilitado para ello? Según la Ley 5/2014 son los detectives privados los únicos profesionales habilitados para realizar investigaciones sobre personas y hechos ocurridos en los ámbitos que recoge. Lógicamente, esto no implica que todos los detectives privados estén capacitados para ello, pero sí la obligatoriedad no solo de tener los estudios, requisitos y habilitación necesarios, sino de actuar dentro del marco de dicha ley: garantías.
El régimen sancionador de la seguridad privada es muy severo, sin embargo, el resto de la normativa no parece tenerlo en consideración. La Agencia Española de Protección de Datos, afortunadamente, encuentra en nuestras figuras la solución idónea a muchos conflictos referentes a la protección de datos personales que suelen estar inmersos en los incidentes de ciberseguridad.
Asimismo, cabe destacar que cuando una normativa general afecta a una sectorial, se debería modificar la segunda de manera aclaratoria.
Por otro lado, las denuncias de incidentes de ciberseguridad no suelen tener recorrido debido a la cantidad ingente de estos, así como a la necesidad de actualización de conocimiento y al aumento de efectivos de las Fuerzas y Cuerpos de Seguridad. Por consiguiente, continuará la indefensión en microempresas y medianas empresas (cuyo porcentaje es abrumador).
Por ello, es necesaria ampliar las funciones de los diferentes actores de la seguridad privada y generar protocolos claros y concretos para que la población y el tejido industrial pueda acudir a estos servicios. Quizás sea necesario crear perfiles con doble aptitud, incluyendo unos conocimientos técnicos u organizativos concretos a la par que la habilitación ministerial correspondiente. Tal vez sea el momento de profesionalizar, más si cabe, un sector como el de la Seguridad Privada (para muchos únicamente seguridad física).
Cuando existen derechos fundamentales en ponderación, es necesario que se aporten las garantías administrativas necesarias.
Esta situación genera confusión y la proliferación de productos denominados de «inteligencia» y forensics, que se extralimitan claramente de su ámbito, realizando investigación privada paralela y generando unos informes que pudieran ser invalidados en sala judicial o incluso usado en contra del pagador (como el famoso forensic de PwC al BBVA).
Pero, ¿en qué se diferencian a estas alturas la seguridad y la ciberseguridad? En la vida real no hay diferencia, en el plano jurídico sí.
Finalizo con la esperanza de un futuro reglamento de seguridad privada que ponga en valor un sector relevante y gestione sus diferentes especializaciones para ofrecer a la sociedad soluciones reales. Que no sea simplemente una herramienta de control y sanción, sino que proteja jurídicamente a sus figuras. Un reglamento que serviría para dar coherencia al resto de normativa nacional, tanto de seguridad como de ciberseguridad.
