Ciberseguridad en servicios esenciales: la transposición pendiente de la Directiva NIS

El contexto y la Directiva NIS

En un entorno de creciente número, intensidad y gravedad de efectos de los ciberincidentes, la preocupación por sus posibles consecuencias en servicios esenciales para la comunidad, ha merecido una especial atención normativa a nivel europeo a través de diversos instrumentos. El principal: la Directiva NIS. Esta norma crea, para todos los Estados miembros, un marco de requisitos similares en materia de seguridad de las redes y sistemas de información y, además, abre la oportunidad de consolidar una industria europea de ciberseguridad. También pretende avanzar en la lucha contra la ciberdelincuencia reduciendo el peligro que supone para la seguridad pública y la seguridad nacional.

Los tres ejes de la directiva son: la creación de capacidades de los Estados miembros en materia de estrategia de ciberseguridad; la colaboración transnacional; y la supervisión a nivel nacional de sectores esenciales.

Los dos primeros ejes se materializan, conforme la Directiva NIS, en las obligaciones de cada Estado miembro de adoptar una estrategia nacional de seguridad en las redes y sistemas, de designar equipos de respuesta a incidentes de seguridad informática (computer security incident response teams, CSIRT) y de facilitar la cooperación estratégica con los CSIRTs de los demás Estados miembros.

La directiva define mecanismos para asegurar que se imponen sobre los prestadores considerados operadores de servicios esenciales y los proveedores de servicios digitales determinadas obligaciones, que se refieren a: (1) la adopción de medidas adecuadas para afrontar los riesgos de seguridad que afectan a las redes y sistemas de información que utilizan, de modo que se preserve la continuidad de servicios esenciales, y (2) la notificación de los incidentes de seguridad que puedan tener impacto significativo en sus servicios, añadiéndose en determinados casos la posibilidad de informar a la población cuando así lo justifiquen los objetivos de prevención o reacción, o de otro modo convenga al interés público. La Directiva persigue fomentar que los operadores adopten una cultura de gestión de riesgos que implique una evaluación del peligro y la aplicación de las medidas de seguridad adecuadas.

El mecanismo de supervisión y las medidas que se imponen en la Directiva NIS varían en función del grado de riesgo de la actividad, distinguiendo si se trata de sectores esenciales (energía, transporte, suministro de agua, sector sanitario, banca e infraestructuras de los mercados financieros), para los que impone un procedimiento de supervisión ex-ante y medidas más rigurosas; o de proveedores de servicios digitales (punto de intercambio de internet, proveedores de servicios del DNS, registros de nombres de dominio de primer nivel), que deben quedar sujetos a exigencias menos rigurosas y a supervisión ex-post.

La Directiva NIS asigna a los Estados miembros la función de identificar los operadores de servicios esenciales y les da de plazo hasta el 9 de noviembre de 2018 para comunicarlos. Por el contrario, no se obliga a los Estados miembros a identificar a los proveedores de servicios digitales, dado que la Directiva NIS debe aplicarse a todos los proveedores de servicios digitales (mayoritariamente de carácter transfronterizo) incluidos en su ámbito de aplicación, debiendo por ello garantizarse que se les aplica un elevado nivel de armonización en todos los Estados miembros respecto de los requisitos de seguridad y notificación.

La Directiva NIS obliga además a que, en caso de incumplimiento, los Estados miembros establezcan un régimen sancionador.

Actuaciones realizadas y perspectivas para su transposición en España

En noviembre de 2017 se publicó desde la Administración española un borrador de Anteproyecto de Ley sobre la seguridad de las redes y sistemas de información,, para la transposición de la Directiva NIS en España, y se abrió un periodo de consulta pública  que finalizó el 8 de enero de 2018.

En diciembre de 2018 el Gobierno español aprobó una nueva Estrategia de Seguridad Nacional (ESN) que, entre las “Amenazas y desafíos para la Seguridad Nacional”, destaca las ciberamenazas y las amenazas sobre las infraestructuras críticas. La nueva ESN fija objetivos y líneas de acción específicos en materia de ciberseguridad.

El 19 de marzo de 2018 el Consejo Nacional de Ciberseguridad ha analizado el estado del Anteproyecto de Ley sobre la Seguridad de las Redes y Sistemas de Información que ha de transponer la Directiva NIS; y, adicionalmente, ha estudiado la conveniencia de elaborar una nueva Estrategia de Ciberseguridad Nacional.

Entretanto, seguimos a la espera de que el Gobierno español apruebe el Proyecto de Ley sobre la Seguridad de las Redes y Sistemas de Información que ha de transponer la Directiva NIS a nuestro ordenamiento e inicie el trámite parlamentario para su aprobación como Ley. El plazo para su promulgación finaliza el 8 de mayo de 2018, si bien el estado actual de los trámites hace muy difícil que se pueda transponer en plazo. La futura Ley de transposición de la Directiva NIS junto con la entrada en vigor definitiva del nuevo Reglamento General Europeo de Protección de Datos, van a suponer un importante punto de inflexión en la cultura de gestión de riesgos relacionados con la seguridad de la información en el entorno empresarial español.