La trasposición en España de la “Directiva NIS” se publicó el 8 de septiembre mediante el Real Decreto–Ley 12/2018, que es que es como se conoce habitualmente al que transpone la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión. El Gobierno dispone de un máximo de 30 días hábiles para su convalidación en el Congreso de los Diputados, desde el día de su publicación en el BOE.
El citado Real decreto-ley tiene por objeto regular y reforzar la seguridad de las redes y sistemas de información utilizados para la provisión de los servicios esenciales y de los servicios digitales, y establecer un sistema de notificación de incidentes.
Su ámbito de aplicación, haciendo alusión al contenido del citado RDL, se refiere a: “Los servicios esenciales dependientes de las redes y sistemas de información comprendidos en los sectores estratégicos definidos en el anexo de la Ley 8/2011, de 28 de abril (conocida como la Ley PIC), por la que se establecen medidas para la protección de las infraestructuras críticas” así como “Prestadores de servicios digitales, que sean mercados en línea, buscadores y prestadores de servicios de cloud”.
Por tanto, además de los sectores y operadores ya afectados por la citada LPIC, como Administración, Espacio, Industria química, Agua, Energía, Salud, Tecnologías de la Información y las Comunicaciones (TIC), Transporte, Alimentación y Sistema financiero y tributario, el ámbito de aplicación en el mencionado RDL se extiende a otros sectores que no se encontraban expresamente en la Directiva como son los Prestadores de servicios digitales.
A tal efecto y según la Ley 34/2002, de 11 de julio, se entiende por servicio digital el servicio de la sociedad de la información prestado habitualmente a título oneroso, a distancia, por vía electrónica y a petición del interesado. Asimismo, dicho concepto también comprende los servicios no remunerados por sus destinatarios siempre que conlleve una actividad económica para el prestador de servicios. Son considerados como tales la contratación de bienes o servicios por vía electrónica, la organización y gestión de subastas por medios electrónicos y centros comerciales virtuales, la gestión de compras en la red por grupos de personas, el envío de comunicaciones comerciales, así como el suministro de información por vía telemática.
Ahora bien, esta normativa no aplicaría y, por tanto, quedarían excluidos del alcance de esta aquellos proveedores de servicios digitales que empleen menos de 50 trabajadores y cuyo volumen de negocios anual o balance general anual no supere los 10 millones de euros. Por tanto, aplicaría este RDL a los proveedores de servicios digitales siempre y cuando no tengan la consideración de microempresas, pequeñas y medianas empresas.
En cuanto a las medidas de seguridad a aplicar, como hilo conductor de las mismas se infiere la necesidad de confeccionar un Análisis de Riesgos y, en consecuencia, con sus resultados, se adoptarán e implementarán las medidas de seguridad medidas técnicas y de organización oportunas para gestionar los mismos y reducir el posible impacto de los incidentes que pudieran afectarle.
En esta línea, y puesto que la presente norma está pendiente de desarrollo reglamentario que establezca las medidas necesarias y delimite su contenido, tanto para los operadores esenciales como para los proveedores de servicios digitales podemos resumir que a la hora de determinar las medidas de seguridad que tendrán que ser aplicadas a éstos últimos, la normativa obliga a la observancia y la necesidad de dar cobertura a estos aspectos mínimos:
En lo referido a los operadores de servicios esenciales al elaborarse las disposiciones reglamentarias, instrucciones y guías, se tendrán en cuenta las obligaciones sectoriales, las directrices relevantes que se adopten en el grupo de cooperación (establecido por el artículo 11 de la citada Directiva (UE) 2016/1148) y los requisitos en materia de seguridad de la información, a las que estuviera sometido el operador en virtud de otras normas, como la Ley 8/2011, de 28 de abril, y el Esquema Nacional de Seguridad, aprobado por el Real Decreto 3/2010, de 8 de enero.
Cabe destacar que gestión de incidentes de seguridad y su coordinación es un apartado clave de este RDL en el que tanto el CCN-CERT, el INCIBE-CERT y el ESPDEF-CERT (CERT del Ministerio de Defensa) tienen papeles relevantes por su papel como equipos de respuesta a incidentes de seguridad informática (CSIRT) de referencia en materia de seguridad de las redes y sistemas de información. De igual modo para su notificación se prevé la utilización de una plataforma común que también podrá ser empleada también para la notificación de vulneraciones de la seguridad de datos personales según el RGPD.
Ahora bien, este real decreto-ley ofrece la posibilidad de que una normativa nacional o comunitaria puede establecer obligaciones de seguridad de las redes y sistema de información o notificación de incidentes en un sector cuyos efectos sean similares a los recogidos en la presente norma. De tal manera que, en ese caso, prevalecerán los procedimientos de supervisión y notificación recogidos en tales normativas, como sucede por ejemplo con el Reglamento (UE) N.º 910/2014 sobre Identificación Electrónica y Servicios de Confianza (eIDAS), por ejemplo.
Respecto a las labores de notificación a la autoridad competente, los prestadores de servicios esenciales nombrarán y comunicarán cuál será la persona, unidad u órgano colegiado responsable de la seguridad de la información el cual actuará como nexo de contacto y coordinación con aquella.
Un punto muy para tener en cuenta es el de la supervisión. Respecto a los operadores de servicios esenciales la autoridad competente podrá requerirles información, así como auditar o exigir al operador que se someta a una auditoría de seguridad por parte de una entidad externa, solvente e independiente. Respecto a los proveedores de servicios digitales, la autoridad competente actuará de oficio previo mediante requerimientos y examen de la información que considere necesaria, cuando tenga constancia de algún incumplimiento, denuncia u ocurrencia de posibles incidentes que perturben a servicios digitales ofrecidos. Cabe destacar que se contempla estrecha colaboración con las autoridades competentes de otros Estados miembros.
En cuanto a las autoridades competentes en este ámbito, seguirá siendo para los operadores de servicios esenciales seguirá siendo la Secretaría de Estado de Seguridad, del Ministerio del Interior, a través del Centro Nacional de Protección de Infraestructuras y Ciberseguridad (CNPIC), mientras que en el caso de que no sean operadores críticos, corresponderá a la autoridad sectorial correspondiente por razón de la materia, según se determine reglamentariamente (Para los proveedores de servicios digitales: la Secretaría de Estado para el Avance Digital, del Ministerio de Economía y Empresa, para los operadores de servicios esenciales y proveedores de servicios digitales que no siendo operadores críticos se encuentren comprendidos en el ámbito de aplicación de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público corresponderá al Ministerio de Defensa, a través del Centro Criptológico Nacional). No obstante, el Consejo de Seguridad Nacional, a través de su comité especializado en materia de ciberseguridad, establecerá los mecanismos necesarios para la coordinación de las actuaciones de las autoridades competentes.
Por último, en lo que se refiere al régimen sancionador no es nada desdeñable, ya que puede haber sanciones que conlleven desde una amonestación o multa de 100.000 euros por la comisión de una infracción leve hasta la una cuantía de 1.000.000 euros por la comisión de una infracción grave.
Estaremos a la espera de los avances reglamentarios para identificar las medidas de seguridad concretas a aplicar.
José Miguel Cardona, Socio de Consultoría – Seguridad de la Información de Auren
CISA, CISM, CISSP, CRISC, ISO 27001/ISO 20000 LA