Tech, Media and Comms

Ciberseguridad: la Directiva NIS se transpone al ordenamiento jurídico español para regular la seguridad de las redes y sistemas de información

Publicado el 23rd octubre 2018

La Directiva NIS se transpone al ordenamiento jurídico español a través del Real Decreto-Ley 12/2018, de 7 de septiembre, cuyo contenido deriva de la propia Directiva y es adaptado a las especificidades de nuestro país en esta materia, con el objetivo de mejorar las amenazas que afectan a las redes y sistemas de información.

Tras haber transcurrido el plazo, el 9 de mayo de 2018, del que disponían los Estados Miembros para la incorporación a su ordenamiento jurídico de la Directiva (UE) 2016/1148 (la "Directiva NIS"), se ha aprobado, en Consejo de Ministros, el Real Decreto-Ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información, que desarrolla y adapta la mencionada Directiva a las necesidades y características del sistema jurídico español en materia de ciberseguridad. Este Real Decreto-Ley (y su futuro desarrollo reglamentario) completa otra normativa ya existente en nuestro ordenamiento, que abordaba ciertos aspectos concretos de esta materia (entre otras, la Ley 8/2011, de 28 de abril, para la protección de las infraestructuras críticas o la Ley 36/2015, de 28 de septiembre, de Seguridad Nacional).

En una primera parte, el Real Decreto-Ley delimita el ámbito de aplicación de la normativa, que comprende, por una parte, la prestación de los servicios esenciales dependientes de las redes y sistemas de información, que se encuentren incluidos en aquellos sectores estratégicos que vienen definidos por la Ley 8/2011 mencionada en el párrafo anterior y que engloban, entre otros, el sector de la alimentación, la energía y la industria química y nuclear y, por otra, los servicios digitales que sean considerados mercados en línea, motores de búsqueda en línea y servicios de computación en nube.

Delimitado lo anterior, el Real Decreto-Ley regula uno de los puntos más notables de esta normativa, que es la notificación de incidentes. Dicha notificación, que debe realizarse a través del CSIRT (equipos de respuesta a incidentes, por sus siglas en inglés), deberá llevarse a cabo siempre que los incidentes puedan "tener efectos perturbadores significativos" en los servicios esenciales. A tal efecto, el Real Decreto-Ley ofrece una serie de parámetros que ayudan a definir este concepto a los efectos de definir si un determinado suceso podría quedar englobado o no dentro de dicha categoría y define también que se entiende por "servicio esencial", siendo aquel servicio necesario para el mantenimiento de funciones sociales básicas, la salud, seguridad y el bienestar social de los ciudadanos, entre otros. Dicha notificación se realizará siempre de forma anónima y el personal que informe sobre este tipo de incidentes no podrá sufrir represalias. En el caso de que la denunciante sea una entidad, ésta no podrá quedar sujeta a una mayor responsabilidad.

En esta línea, la normativa prevé la utilización de una plataforma común de notificación de incidentes, de tal manera que los operadores no se vean en la necesidad de efectuar varias notificaciones en función de la autoridad a la que deban dirigirse, dado que, en la mayoría de ocasiones, los incidentes en este ámbito se producen a nivel global, afectando a más de un territorio. Ciertamente, al igual que veremos más adelante en las medidas técnicas y de organización, el sistema comparte ciertos paralelismos con las notificaciones a la autoridad de control en materia de protección de datos de carácter personal, tal y como dispone el Reglamento General de Protección de Datos, en el caso de producirse una violación de seguridad de datos personales.

Los equipos de respuesta anteriormente mencionados (CSIRT) deberán coordinarse entre sí (la normativa nombra a tres CSIRT a los que notificar, según la tipología del sujeto obligado), para dar respuesta a los incidentes, analizar riesgos, supervisar incidentes y difundir alertas aportando soluciones para mitigar sus efectos.

Otro de los aspectos a destacar del Real Decreto-Ley es la necesidad de adoptar, con carácter preventivo, por parte de los servicios esenciales y los servicios digitales, medidas técnicas y de organización, adecuadas y proporcionadas, con el objetivo de minimizar los riesgos en las redes y prevenir posibles incidentes. A estos efectos, la normativa proporciona una serie de criterios orientativos con los que deberán contar dichas medidas, a la espera de que el desarrollo reglamentario de este Real Decreto-Ley determine las medidas concretas a implementar.

Por otra parte, a través del Real Decreto-Ley, se crea la Estrategia de Ciberseguridad Nacional, que desarrolla el marco estratégico e institucional de la ciberseguridad y se procede también al nombramiento de autoridades competentes para la coordinación entre autoridades nacionales y órganos de cooperación europeos. Así, se le otorga al Consejo de Seguridad Nacional la función de ejercer, a través del Departamento de Seguridad Nacional, de enlace ente los distintos Estados Miembros, tal y como se venía requiriendo desde la Directiva NIS, así como con la red CSIRT y el grupo de cooperación, que recordemos había sido creado por la mencionada Directiva teniendo, precisamente, el objetivo de intercambiar información y buenas prácticas.

Otro elemento a tener en cuenta de la normativa es el punto de contacto único, que se canalizará a través del Consejo de Seguridad Nacional y cuyo objetivo principal es funcionar como enlace, para garantizar la cooperación transfronteriza entre autoridades competentes en esta materia. Asimismo, se encargará de remitir, anualmente, un informe a la Comisión Europea, resumiendo las notificaciones que haya recibido la autoridad competente.

El régimen sancionador es otra de las materias desarrollas por este Real Decreto-Ley. En el mismo, se define qué tipo de infracciones quedan categorizadas como muy graves, graves o leves, al mismo tiempo que se determinan las cuantías que podrían ser impuestas en concepto de sanción y que podrían llegar, en el caso de infracciones muy graves, hasta 1.000.000 de euros.

En conclusión, es innegable que este Real Decreto-Ley supone un gran avance en materia de ciberseguridad en nuestro país. A modo de ejemplo, en el año 2017, el Instituto Nacional de Ciberseguridad resolvió más de 123.000 incidentes de ciberseguridad a petición de ciudadanos y empresarios, lo que supuso un incremento del 6,77% con respecto a 2016. Estas cifras ponen de relieve la creciente notoriedad e importancia de las redes y sistemas de información, tanto en organizaciones públicas como privadas, a nivel nacional y comunitario, que ha hecho multiplicar enormemente los riesgos a los que éstas se ven expuestas en el marco de su actividad diaria, poniendo de manifiesto la necesidad de un sistema y criterio común frente a estos desafíos.

Compartir

* This article is current as of the date of its publication and does not necessarily reflect the present state of the law or relevant regulation.

Contacte con uno de nuestros expertos

Interested in hearing more from Osborne Clarke?