Normativa europea de ciberseguridad (Directiva NIS): en qué consiste y cómo afecta a las empresas

Normativa europea de ciberseguridad (Directiva NIS): en qué consiste y cómo afecta a las empresas

PORTADA NORMATIVA LEY EUROPEA

La primera normativa europea de ciberseguridad sigue avanzando en su puesta en marcha. La Directiva 2016/1148 de ciberseguridad (conocida como Directiva NIS) fue aprobada en 2016 por parte del Consejo de la Unión Europea y del pleno del Parlamento. El Consejo de Ministros aprobó en septiembre un Real Decreto-ley (el 12/2018) para la transposición de esta directiva. Su principal objetivo es que aumente la protección frente a ataques y vulneraciones en las redes y sistemas de información de toda la Unión Europea.

¿Qué se busca con esta norma?

Hasta ahora, cada uno de los Estados miembro de la Unión Europea contaba con una estrategia y un sistema propio en el ámbito de la ciberseguridad. La idea es que, gracias a esta norma, se genere una mayor colaboración entre los países de la UE y aumente la protección frente a los ataques y vulneraciones en ciberseguridad, que supongan un riesgo importante.

Se contará con un grupo de cooperación estratégica para intercambiar información y ayudar, así, a los Estados miembros a mejorar su capacidad en ciberseguridad. Además, cada país ha establecido una red CSIRT, es decir, una red de Equipos de Respuesta de Incidentes de Seguridad Informática para gestionar riesgos, discutir los problemas de seguridad transfronterizos e idear respuestas coordinadas.

Ley europea ciberseguridad
¿Qué ámbitos se encuentran dentro de la norma?

Esta normativa debe aplicarse tanto a los operadores de servicios esenciales como a los proveedores de servicios digitales, pero están exentas:

  • Las empresas que suministren redes públicas de comunicaciones.
  • Las empresas que presten servicios de comunicaciones electrónicas disponibles al público.
  • Los prestadores de servicios de confianza.
  • Los sectores regulados con leyes específicas siempre que sus requisitos de seguridad sean equivalentes a los que establece la presente directiva.

Los Estados Miembros deben determinar qué entidades son las consideradas como “operador de servicios esenciales” valorando cada uno de los sectores y subsectores que se establecen en la directiva.

¿Qué se debe hacer?

Los 28 países miembro deben identificar a los considerados “operadores de servicios esenciales” y analizar qué alcance tendría una intrusión en sus sistemas. Y… ¿quiénes son los operadores de servicios esenciales?

El Real Decreto-ley 12/2018 apunta que la identificación de los servicios esenciales (y de los operadores que los presten) se va a efectuar a través de los órganos y procedimientos previstos en la Ley 8/2011, de 28 de abril, conocida como Ley PIC, en la que se establecen medidas para la protección de las infraestructuras críticas.

Los criterios que se tomarán en consideración para ver qué entidades están incluidos dentro de esta clasificación son:

  • Si son servicios fundamentales para la sociedad y la economía.
  • Si dependen o no de otro sistema de redes.
  • Los efectos perjudiciales que podría tener una posible incidencia respecto de la prestación de servicios o de la seguridad pública.

Pero, en general, esta denominación hace referencia a las empresas de:

  • Energía:
    • Electricidad: empresas eléctricas, gestores de la red de distribución y gestores de la red de transporte.
    • Crudo: operadores de oleoductos y de producción, refinado, tratamiento, almacenamiento y transporte.
    • Gas: suministradoras, gestores de red de distribución, gestores de red de transporte, almacenamiento, gestores de red GNL, compañías de gas natural y gestores de las instalaciones de refinado y tratamiento de gas natural.
  • Transporte:
    • Aéreo: compañías aéreas, gestoras de aeropuertos (en lo relativo a la gestión de pistas y no servicios accesorios como zonas comerciales) y gestión de tráfico aéreo.
    • Ferrocarril: administradores de infraestructuras y empresas ferroviarias.
    • Marítimo y fluvial: empresas de transporte marítimo, fluvial y de cabotaje, tanto de mercancías como de pasajeros, gestores de puertos, operadores de servicios de tráfico de buques y fluvial, y por carretera):
  • Banca: entidades de crédito.
  • Sanitario: prestadores de asistencia sanitaria, es especial hospitales y clínicas públicas y privadas).
  • Suministro y distribución de agua potable.
  • Infraestructura digital: IXP (Internet Exchange Point o Punto de intercambio de internet, su función es conectar dos redes entre sí), proveedores de servicios DNS y Registros de nombres de dominio de primer nivel.
  • Servicios digitales: tiendas online, motores de búsqueda y las nubes de almacenamiento de datos.

ciberseguridad empresas transporte

Eso sí, las microempresas y pymes digitales no están incluidas; quedan fuera del alcance los proveedores de servicios digitales que empleen menos de 50 trabajadores y cuyo volumen de negocios anual (o balance general anual) no supere los 10 millones de euros. Pero, todavía queda por aclarar qué volumen de información y datos deben tener estas empresas (aunque sean pequeñas) para que sean consideradas de riesgo o no. Es decir, es lo mismo una pyme de ciberseguridad, que una de servicio de peluquería canina.

¿Qué medidas tendrán que aplicar las empresas?

Aquellas empresas que se puedan ver afectadas por la futura directiva deberán mejorar sus sistemas de seguridad contra intrusiones, es decir, convertirse en entidades a prueba de ciberdelincuentes. Además, tendrán que comunicar a las autoridades pertinentes las intrusiones o violaciones graves que sufran. En este sentido, las empresas que no cumplan las expectativas marcadas podrían sufrir sanciones por parte de la autoridad pertinente.

El artículo 19 del Real Decreto-ley 12/2018 recoge la obligación de notificar los incidentes a la autoridad competente (deberán hacerlo a través del CSIRT de referencia). En este punto, matiza que los empleados que notifiquen estos incidentes no sufrirán consecuencias (ni con respecto a su puesto de trabajo, ni con la empresa), salvo que se acredite mala fe en su actuación.

Además, los operadores de servicios esenciales y los proveedores de servicios digitales están obligados a resolver los incidentes de seguridad que les afecten. Y, en caso de que no puedan resolverlo con sus medios, tendrán que pedir ayuda (incluso, si es necesario, al CSIRT de referencia).

El Real Decreto recoge sanciones que pueden ir desde multas de 100.000 euros, en las infracciones leves, hasta un millón para las que se consideren muy graves. Eso sí, apuesta por la subsanación del problema, antes de la aplicación del castigo.

¿Existe algún regulador?

Cada uno de los Estados miembros deberá designar un punto de contacto único nacional (que será un organismo o entidad pública) que se encargue de coordinar todos los aspectos relativos a la seguridad de las redes y sistemas de información, además de cooperar con sus homólogos del resto de países de la UE.

En el caso de España, será el Consejo de Seguridad Nacional (a través del Departamento de Seguridad Nacional) el que ejerza la función de enlace con otros países, así como la coordinación de la política de ciberseguridad nacional.

Además, se han creado los Computer Security Incident Response Teams (CSIRT o Equipos de Respuesta a Incidentes de Seguridad Informática) que deberán recibir las notificaciones de los incidentes de ciberseguridad. Ellos serán los encargados de elevarlo al punto de contacto para que tome las medidas oportunas y, en su caso, lo transmita al resto de puntos de los Estados miembros.

Este Real Decreto recoge tres CSIRT de referencia en nuestro país: para el sector público el CSIRT de referencia es el CCN-CERT, del Centro Criptológico Nacional; para ciudadanos y entidades privadas será el INCIBE-CERT (operado conjuntamente por el INCIBE y el CNPIC en la gestión de incidentes que afecten a los operadores críticos), y, por último, el ESPDEF-CERT, del Mando Conjunto de Ciberdefensa, que cooperará con los otros dos CSIRT cuando lo requieran o cuando se produzca una incidencia en la defensa nacional.

En los casos de “especial gravedad” que necesiten mayor coordinación que el resto, el Real Decreto apunta que será el CCN-CERT el encargado de organizar a los CSIRT.

Por otro lado, ENISA (Agencia de Seguridad de las Redes y de la Información de la Unión Europea) prestará asistencia a los Estados miembros y a la Comisión como órgano consultivo, junto con el Centro Europeo de Ciberdelincuencia (EUROPOL) que suministrará información.

¿Necesitas asesoramiento jurídico para tu empresa en materia de ciberseguridad? ¿Tienes alguna pregunta? ¡No dudes en ponerte en contacto con nosotros!

Comments

Comentarios desactivados