Seguridad de Redes y Sistemas Informáticos - La importancia de la futura Directiva NIS
24/07/2016Seguridad de Redes y Sistemas Informáticos - La importancia de la futura Directiva NIS
Recientemente, el Consejo de la Unión Europea ha hecho pública la versión definitiva de la Directiva sobre Seguridad de las Redes y de la Información, también conocida por su siglas en inglés como Directiva NIS (Network and Information Security).
Dicha norma se erige como la primera normativa comunitaria en esta materia, y nace con la intención clara de respaldar la Estrategia de Ciberseguridad de la Unión Europea vigente, que persigue prevenir y responder a las perturbaciones y ataques que pudieran afectar a los sistemas de telecomunicaciones en Europa.
La dependencia a las redes e infraestructuras digitales de la mayor parte de las empresas y de gobiernos de la Unión implica que cualquier incidente relacionado con la seguridad de redes y la información (SRI) tenga como consecuencia un alto impacto en su actividad cotidiana, pues impide o dificulta su normal funcionamiento y la prestación de sus servicios esenciales. Asimismo, el alcance de los incidentes SRI, lejos de ser local, supone un riesgo a nivel global al constituir una amenaza a nivel europeo, que puede afectar a la totalidad de los Estados Miembros.
En este contexto, y con la finalidad de disminuir la vulnerabilidad del ciberespacio, nace esta Directiva que fijará niveles comunes de seguridad e impulsará la cooperación entre países, lo que ayudará a evitar acciones contra infraestructuras interconectadas y ayudará a las empresas a protegerse a sí mismas y a prevenir posibles ataques.
Una de las primeras medidas de la Directiva es la exigencia de designar una autoridad única de referencia en cada Estado en los primeros seis meses desde su entrada en vigor. Dicho organismo se encargará de hacer cumplir y aplicar la Directiva, quedando patente la necesidad de establecer las bases de la coordinación entre instituciones y entre los países. Asimismo, obliga a los operadores de servicios esenciales a cumplir con determinados requisitos de seguridad de sus redes e información y a informar al órgano competente sobre incidentes graves. A efectos de la normativa se entiende por operadores de servicios esenciales aquellas empresas y entidades que prestan un servicio fundamental para la sociedad y la economía (energía, transporte, agua, banca y mercados financieros, salud), incluyendo las de infraestructura digital, como plataformas de e-commerce, motores de búsqueda o servicios de cloud.
Las empresas que cubren estos servicios básicos tendrán que reforzar su capacidad de resistencia a los ataques cibernéticos y diseñar planes de respuesta, así como establecer canales de interlocución continua con los departamentos gubernamentales pertinentes y los organismos encargados de velar por el correcto cumplimiento de la ley. Por su parte, las microempresas y las compañías pequeñas estarán exentas de estas obligaciones.
La identificación de los operadores de servicios esenciales corresponderá a los gobiernos nacionales, usando criterios específicos, por ejemplo, si el servicio es fundamental para la sociedad y la economía y si un incidente podría generar perturbaciones en la distribución de ese servicio. En concreto, en España están clasificadas como operadores críticos 93 empresas que representan alrededor de 300 infraestructuras claves.
Sin embargo, el texto de la Directiva resulta ambiguo y escueto en dos materias: por un lado, el régimen sancionador en caso de infracción de la norma y, por otro, las condiciones que determinarán en qué medida la autoridad competente debe notificar con carácter público que se ha producido un incidente de ciberseguridad en una empresa.
La Directiva afectará a diferentes sectores de forma transversal por lo que debe engranarse con otras normativas europeas ya vigentes, como el recién aprobado Reglamento Europeo de Protección de Datos adaptado a la era digital, y con las diferentes leyes nacionales vinculadas a la seguridad y datos, así como a las propias de cada sector empresarial. En España serían, entre otras, la Ley de Protección de Infraestructuras Críticas (PIC), La Ley de Protección de Datos (LOPD), la Estrategia de Ciberseguridad y leyes específicas de energía, transporte o agua.
La Directiva europea NIS resalta el papel de la colaboración y la coordinación entre los Estados Miembros para conseguir su objetivo de garantizar un alto nivel de ciberseguridad de las infraestructuras críticas del país, y en consecuencia, los Estados Miembros deberán tener en cuenta dichos principios al incorporar la Directiva a sus respectivos ordenamientos internos.
En el escenario español, el Centro Tecnológico de Seguridad (CETSE) inaugurado recientemente como referente en Europa, jugará un papel relevante en el marco de aplicación de la Directiva. El Centro coordinará y desarrollará bases de datos, sistemas de información y sistemas de comunicaciones de utilización conjunta por las Fuerzas y Cuerpos de Seguridad y albergará la sede del Centro Nacional para la Protección de las Infraestructuras Críticas (CNPIC), así como la subdirección general de Sistemas de Información y Comunicaciones para la Seguridad (SGSICS).
Finalmente, si bien la Directiva está pendiente de la aprobación del Pleno del Parlamento, lo que se espera suceda previsiblemente en los próximos meses. Una vez aprobada y tras 20 días desde su publicación en el Diario Oficial de la UE, los Estados miembros la incorporarán a sus respectivas legislaciones nacionales en un plazo de 21 meses.
Dicha norma se erige como la primera normativa comunitaria en esta materia, y nace con la intención clara de respaldar la Estrategia de Ciberseguridad de la Unión Europea vigente, que persigue prevenir y responder a las perturbaciones y ataques que pudieran afectar a los sistemas de telecomunicaciones en Europa.
La dependencia a las redes e infraestructuras digitales de la mayor parte de las empresas y de gobiernos de la Unión implica que cualquier incidente relacionado con la seguridad de redes y la información (SRI) tenga como consecuencia un alto impacto en su actividad cotidiana, pues impide o dificulta su normal funcionamiento y la prestación de sus servicios esenciales. Asimismo, el alcance de los incidentes SRI, lejos de ser local, supone un riesgo a nivel global al constituir una amenaza a nivel europeo, que puede afectar a la totalidad de los Estados Miembros.
En este contexto, y con la finalidad de disminuir la vulnerabilidad del ciberespacio, nace esta Directiva que fijará niveles comunes de seguridad e impulsará la cooperación entre países, lo que ayudará a evitar acciones contra infraestructuras interconectadas y ayudará a las empresas a protegerse a sí mismas y a prevenir posibles ataques.
Una de las primeras medidas de la Directiva es la exigencia de designar una autoridad única de referencia en cada Estado en los primeros seis meses desde su entrada en vigor. Dicho organismo se encargará de hacer cumplir y aplicar la Directiva, quedando patente la necesidad de establecer las bases de la coordinación entre instituciones y entre los países. Asimismo, obliga a los operadores de servicios esenciales a cumplir con determinados requisitos de seguridad de sus redes e información y a informar al órgano competente sobre incidentes graves. A efectos de la normativa se entiende por operadores de servicios esenciales aquellas empresas y entidades que prestan un servicio fundamental para la sociedad y la economía (energía, transporte, agua, banca y mercados financieros, salud), incluyendo las de infraestructura digital, como plataformas de e-commerce, motores de búsqueda o servicios de cloud.
Las empresas que cubren estos servicios básicos tendrán que reforzar su capacidad de resistencia a los ataques cibernéticos y diseñar planes de respuesta, así como establecer canales de interlocución continua con los departamentos gubernamentales pertinentes y los organismos encargados de velar por el correcto cumplimiento de la ley. Por su parte, las microempresas y las compañías pequeñas estarán exentas de estas obligaciones.
La identificación de los operadores de servicios esenciales corresponderá a los gobiernos nacionales, usando criterios específicos, por ejemplo, si el servicio es fundamental para la sociedad y la economía y si un incidente podría generar perturbaciones en la distribución de ese servicio. En concreto, en España están clasificadas como operadores críticos 93 empresas que representan alrededor de 300 infraestructuras claves.
Sin embargo, el texto de la Directiva resulta ambiguo y escueto en dos materias: por un lado, el régimen sancionador en caso de infracción de la norma y, por otro, las condiciones que determinarán en qué medida la autoridad competente debe notificar con carácter público que se ha producido un incidente de ciberseguridad en una empresa.
La Directiva afectará a diferentes sectores de forma transversal por lo que debe engranarse con otras normativas europeas ya vigentes, como el recién aprobado Reglamento Europeo de Protección de Datos adaptado a la era digital, y con las diferentes leyes nacionales vinculadas a la seguridad y datos, así como a las propias de cada sector empresarial. En España serían, entre otras, la Ley de Protección de Infraestructuras Críticas (PIC), La Ley de Protección de Datos (LOPD), la Estrategia de Ciberseguridad y leyes específicas de energía, transporte o agua.
La Directiva europea NIS resalta el papel de la colaboración y la coordinación entre los Estados Miembros para conseguir su objetivo de garantizar un alto nivel de ciberseguridad de las infraestructuras críticas del país, y en consecuencia, los Estados Miembros deberán tener en cuenta dichos principios al incorporar la Directiva a sus respectivos ordenamientos internos.
En el escenario español, el Centro Tecnológico de Seguridad (CETSE) inaugurado recientemente como referente en Europa, jugará un papel relevante en el marco de aplicación de la Directiva. El Centro coordinará y desarrollará bases de datos, sistemas de información y sistemas de comunicaciones de utilización conjunta por las Fuerzas y Cuerpos de Seguridad y albergará la sede del Centro Nacional para la Protección de las Infraestructuras Críticas (CNPIC), así como la subdirección general de Sistemas de Información y Comunicaciones para la Seguridad (SGSICS).
Finalmente, si bien la Directiva está pendiente de la aprobación del Pleno del Parlamento, lo que se espera suceda previsiblemente en los próximos meses. Una vez aprobada y tras 20 días desde su publicación en el Diario Oficial de la UE, los Estados miembros la incorporarán a sus respectivas legislaciones nacionales en un plazo de 21 meses.