Ciber seguridad en las redes. Directiva de seguridad de las redes y transposici贸n en Espa帽a (I)

Spread the love
Lincoln, Ox

La protecci贸n de los servicios considerados esenciales para la sociedad son los objetivos sobre los que trabaja la Uni贸n Europea y sus Estados.**

A tales efectos聽 destaca la legislaci贸n y propuestas a las que aludimos.

En primer lugar la Directiva 2008/114/CE del Consejo, sobre Identificaci贸n y Designaci贸n de las Infraestructuras Cr铆ticas Europeas y la Evaluaci贸n de la Necesidad de Mejorar su Protecci贸n鈥, que fue transpuesta en Espa帽a con la 鈥淟ey 8/2011 por la que se establecen medidas para la Protecci贸n de las Infraestructuras Cr铆ticas鈥.

En segundo la 聽Directiva 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las聽medidas destinadas a garantizar un elevado nivel com煤n de seguridad de las redes y sistemas de聽informaci贸n en la Uni贸n; y聽 su primera transposici贸n en Espa帽a (Real Decreto-ley 12/2018 con tramitaci贸n parlamentaria como Proyecto de Ley de seguridad de las redes y sistemas de informaci贸n (procedente del Real Decreto-ley 12/2018, de 7 de septiembre).聽Esta Directiva es objeto de desarrollo regulatorio, en el llamado 芦paquete NIS禄).

En virtud de la Directiva (UE) 2016/1148, los pa铆ses de la UE deben:

  1. designar a聽una o m谩s autoridades nacionales competentes聽y a uno o varios centros de respuesta a incidentes cibern茅ticos –聽CSIRT-, as铆 como determinar un聽punto de contacto 煤nico (en caso de que haya m谩s de una autoridad competente)
        • Los CSIRT son responsables de supervisar incidentes de ciberseguridad y responder a ellos; efectuar an谩lisis de riesgos e incidentes; participar en la red de CSIRTs; cooperar con el sector privado; fomentar la utilizaci贸n de pr谩cticas normalizadas para la clasificaci贸n de incidentes, riesgos e informaci贸n, entre otras competencias
  2. designar聽operadores de servicios esenciales聽en sectores fundamentales como la energ铆a, el transporte, las finanzas, la banca, la salud, el agua y la聽infraestructura digital, en los cuales un ciberataque podr铆a perturbar un servicio esencial.
  3. adoptar una estrategia nacional de ciberseguridad para las redes y sistemas de informaci贸n, que aborde la聽preparaci贸n y disposici贸n para gestionar y reaccionar a los ciberataques; las聽funciones, responsabilidades y cooperaci贸n de la administraci贸n p煤blica y de otros agentes; los聽programas de educaci贸n, concienciaci贸n y formaci贸n; los聽planes de investigaci贸n y desarrollo; y los聽planes de identificaci贸n de riesgos.
  4. asegurar que sus autoridades nacionales competentes supervisan la aplicaci贸n de la Directiva聽evaluando las pol铆ticas de ciberseguridad y seguridad de los operadores de servicios esenciales; supervisando los proveedores de servicios digitales; participando en el trabajo del聽Grupo de cooperaci贸n聽[formado por las autoridades competentes en materia de seguridad de las redes y de la informaci贸n (SRI) de cada uno de los pa铆ses de la UE, la聽Comisi贸n Europea聽y la聽Agencia de Seguridad de las Redes y de la Informaci贸n de la Uni贸n Europea (ENISA)]; informando al p煤blico cuando sea necesario a fin de evitar incidentes o gestionarlos cuando ya se hayan producido, respetando siempre los requisitos de confidencialidad; impartiendo instrucciones vinculantes para subsanar las deficiencias en ciberseguridad.
All Souls Bridge. OX
La Directiva se aplica a los operadores de servicios esenciales (designados) -OSE- como a los proveedores de servicios digitales -PSE-, aunque las obligaciones de unos y otros resulten algo distintas.

Sin embargo, la Directiva NIS聽no se aplica a empresas que suministren redes p煤blicas de comunicaciones o presten servicios de comunicaciones electr贸nicas disponibles para el p煤blico en el sentido de la Directiva聽2002/21/CE del Parlamento Europeo y del Consejo聽 (Directiva Marco de Comunicaciones Electr贸nicas)聽que est谩n sujetas a los requisitos espec铆ficos de seguridad e integridad, como tampoco a los prestadores de servicios de confianza definidos en el Reglamento (UE) n.o聽910/2014 del Parlamento Europeo y del Consejo (relativo a la identificaci贸n electr贸nica y los servicios de confianza para las transacciones electr贸nicas en el mercado interior) que est谩n sujetos a los requisitos de seguridad establecidos en dicho Reglamento.

                                        • Su 谩mbito de aplicaci贸n no empece las medias especiales como las obligatorias en virtud de la Directiva 2013/40/UE del Parlamento Europeo y del Consejo, de 12 de agosto de 2013, relativa a los ataques contra los sistemas de informaci贸n ; ni la聽聽Directiva 2011/93/UE del Parlamento Europeo y del Consejo, de 13 de diciembre de 2011, relativa a la lucha contra los abusos sexuales y la explotaci贸n sexual de los menores y la pornograf铆a infantil y por la que se sustituye la Decisi贸n marco 2004/68/JAI del Consejo; ni la Directiva 2008/114/CE del Consejo, de 8 de diciembre de 2008, sobre la identificaci贸n y designaci贸n de infraestructuras cr铆ticas europeas y la evaluaci贸n de la necesidad de mejorar su protecci贸n.

 

El Real Decreto Ley聽 12/2018 incorpora al ordenamiento espa帽ol la Directiva NIS. Tiene por objeto regular la seguridad de las redes y sistemas de聽informaci贸n utilizados para la provisi贸n de los servicios esenciales y de los servicios digitales, y establecer聽un sistema de notificaci贸n de incidentes. Tambi茅n establece un marco institucional en las cuestiones relativas a su 谩mbito.

Se aplica a

  • Operadores de Servicios Digitales -OSE- dependientes de las聽 redes y sistemas de informaci贸n comprendidos en los sectores estrat茅gicos (infraestructuras cr铆ticas) definidos en el anexo de la mencionada Ley 8/2011, sobre protecci贸n de infraestructuras cr铆ticas
    • Un operador de servicios esenciales est谩 establecido en Espa帽a cuando su residencia o domicilio social se encuentren en territorio espa帽ol, siempre que 茅stos coincidan con el lugar en que est茅 efectivamente centralizada la gesti贸n administrativa y la direcci贸n de sus negocios o actividades.
    • Servicios esenciales que los operadores residentes o domiciliados en otro Estado ofrezcan a trav茅s de un establecimiento permanente situado en Espa帽a.
    • La Comisi贸n Nacional para la Protecci贸n de las Infraestructuras Cr铆ticas aprobar谩 una primera lista de servicios esenciales dentro de los sectores incluidos en el 谩mbito de aplicaci贸n de este real decreto-ley e identificar谩 a los operadores que los presten que deban sujetarse a este real decreto-ley聽
  • Prestadores聽 o proveedores de servicios digitales – PSD- 聽 conforme se determina en el art铆culo 3 e), es decir聽 芦persona jur铆dica que presta un servicio digital.禄 que adem谩s sean mercados en l铆nea, motores de b煤squeda en l铆nea y servicios de computaci贸n en nube.聽Es decir,聽proveedores de servicios digitales que tengan su sede social en Espa帽a y/o con establecimiento principal en la Uni贸n Europea, as铆 como los que, no estando establecidos en la Uni贸n Europea, designen en Espa帽a a su representante en la Uni贸n para el cumplimiento de la Directiva (UE) 2016/1148 y se dediquen a alguna (o todas) de las 3 actividades

Exclusiones. El RD-l, no se aplica a

  • a) Los operadores de redes y servicios de comunicaciones electr贸nicas, prestadores de servicios electr贸nicos de confianza que no sean designados como operadores cr铆ticos en virtud de la Ley 8/2011, de 28 de abril.
  • b) Los proveedores de servicios digitales cuando se trate de microempresas o peque帽as empresas, de acuerdo con las definiciones recogidas en la Recomendaci贸n 2003/361/CE de la Comisi贸n, de 6 de mayo de 2003, sobre la definici贸n de microempresas, peque帽as y medianas empresas.
Obligaciones de seguridad de los OSD y PSD:
Houses of Parliament
  • adoptar medidas t茅cnicas y de organizaci贸n, adecuadas y proporcionadas, para gestionar los riesgos que se planteen para la seguridad de las redes y sistemas de informaci贸n utilizados en la prestaci贸n de los servicios sujetos a este real decreto-ley.
  • notificar incidentes conforme al t铆tulo V
  • tomar medidas adecuadas para prevenir y reducir al m铆nimo el impacto de los incidentes que les afecten.

Los operadores de servicios esenciales designar谩n y comunicar谩n a la autoridad competente, la persona, unidad u 贸rgano colegiado responsable de la seguridad de la informaci贸n, como punto de contacto y de coordinaci贸n t茅cnica con aquella,聽 cuyas聽funciones espec铆ficas ser谩n las previstas reglamentariamente.

    • Las autoridades competentes podr谩n establecer mediante Orden ministerial obligaciones espec铆ficas para garantizar la seguridad de las redes y sistemas de informaci贸n empleados por los operadores de servicios esenciales. As铆 mismo, podr谩n dictar instrucciones t茅cnicas y gu铆as orientativas para detallar el contenido de dichas 贸rdenes.
    • Al elaborar las disposiciones reglamentarias, instrucciones y gu铆as, tendr谩n en cuenta las obligaciones sectoriales, las directrices relevantes que se adopten en el grupo de cooperaci贸n y los requisitos en materia de seguridad de la informaci贸n a las que estuviera sometido el operador en virtud de otras normas, como la Ley 8/2011, de 28 de abril, y el Esquema Nacional de Seguridad en el 谩mbito de la administraci贸n electr贸nica, aprobado por el Real Decreto 3/2010, de 8 de enero.聽Las autoridades competentes deber谩n coordinarse entre s铆 y con los diferentes 贸rganos sectoriales con competencias por raz贸n de la materia, con objeto de evitar duplicidades en las obligaciones exigibles y facilitar su cumplimiento a los operadores de servicios esenciales.

Los proveedores de servicios digitales determinar谩n las medidas de seguridad que aplicar谩n, teniendo en cuenta, como m铆nimo, los avances t茅cnicos y los siguientes aspectos (atendiendo a los actos de ejecuci贸n de la Comisi贸n Europea):

  • 聽La seguridad de los sistemas e instalaciones;
  • 聽La gesti贸n de incidentes;
  • 聽La gesti贸n de la continuidad de las actividades;
  • 聽La supervisi贸n, auditor铆as y pruebas;
  • 聽El cumplimiento de las normas internacionales.
Turf Street (and Pub) Ox
Obligaciones de notificar
  • (Los operadores de servicios esenciales notificar谩n a la autoridad competente, a trav茅s del CSIRT de referencia, los incidentes que puedan tener efectos perturbadores significativos en tales servicios, o,聽conforme se determine reglamentariamente, incidentes relativos a los sucesos o incidencias que puedan afectar a las redes y sistemas de informaci贸n empleados para la prestaci贸n de los servicios esenciales, pero que a煤n no hayan tenido un efecto adverso real sobre aqu茅llos.

  • Los proveedores de servicios digitales notificar谩n a la autoridad competente, a trav茅s del CSIRT de referencia (INCIBE en el caso de entidades privadas y empresarios individuales)聽 los incidentes que tengan efectos perturbadores significativos en dichos servicios.

    • A los efectos de valorar la gravedad del incidente, los operadores de servicios esenciales medir谩n la relevancia teniendo en cuenta, como m铆nimo, los siguientes factores: a) El n煤mero de usuarios afectados por la perturbaci贸n del servicio esencial. b) La duraci贸n del incidente. c) La extensi贸n o 谩reas geogr谩ficas afectadas聽d) El grado de perturbaci贸n del funcionamiento del servicio. e) El alcance del impacto en actividades econ贸micas y sociales cruciales.聽f) La importancia de los sistemas afectados o de la informaci贸n afectada por el incidente para la prestaci贸n del servicio esencial.聽g) El da帽o a la reputaci贸n.
      • Estos operadores deben realizar una notificaci贸n inicial, otra intermedia y otra final
    • Los operadores de servicios digitales, determinan la medici贸n conforme a lo que establezcan los actos de ejecuci贸n previstos en los apartados 8 y 9 del art铆culo 16 de la Directiva NIS. La obligaci贸n de la notificaci贸n del incidente 煤nicamente se aplicar谩 cuando el proveedor de servicios digitales tenga acceso a la informaci贸n necesaria para valorar el impacto de un incidente.

 

  • Los operadores de servicios esenciales y los proveedores de servicios digitales聽 as铆 como cualquier otra parte interesada, que tengan noticia de incidentes que afecten de modo significativo a servicios digitales ofrecidos en Espa帽a por proveedores establecidos en otros Estados miembros de la Uni贸n Europea, podr谩n notificarlo a la autoridad competente aportando la informaci贸n pertinente, al objeto de facilitar la cooperaci贸n con el Estado miembro en el que estuviese establecido el citado proveedor.
  • Las notificaciones tanto de operadores de servicios esenciales como de proveedores de servicios digitales se referir谩n a los incidentes que afecten a las redes y sistemas de informaci贸n empleados en la prestaci贸n de los servicios, tanto si se trata de redes y servicios propios como si lo son de proveedores externos.
    • Las autoridades competentes y los CSIRT de referencia utilizar谩n una plataforma com煤n para facilitar y automatizar los procesos de notificaci贸n, comunicaci贸n e informaci贸n sobre incidentes.
    • El desarrollo reglamentario de este real decreto-ley prever谩 las medidas necesarias para el cumplimiento de lo preceptuado en este art铆culo por parte de los operadores de servicios esenciales.
      • Las autoridades competentes podr谩n establecer, mediante Orden ministerial, obligaciones espec铆ficas de notificaci贸n por los operadores de servicios esenciales. As铆 mismo, podr谩n dictar instrucciones t茅cnicas y gu铆as orientativas para detallar el contenido de dichas 贸rdenes. Al elaborar las disposiciones reglamentarias, instrucciones y gu铆as, se tendr谩n en cuenta las obligaciones sectoriales, las directrices relevantes que se adopten en el grupo de cooperaci贸n y los requisitos en materia de notificaci贸n de incidentes a los que estuviera sometido el operador en virtud de otras normas, como la Ley 8/2011, de 28 de abril, y el Esquema Nacional de Seguridad, aprobado por el Real Decreto 3/2010, de 8 de enero.
    • La obligaci贸n de notificaci贸n de incidentes no obsta al cumplimiento de los deberes legales de denuncia de aquellos hechos que revistan caracteres de delito .

      Grove Qd, Lincoln, Ox
    • Proteccion de notificantes: Las聽notificaciones consideradas en este t铆tulo no sujetar谩n a la entidad que las efect煤e a una mayor responsabilidad. Adem谩s, los聽empleados y el personal que, por cualquier tipo de relaci贸n laboral o mercantil, participen en la prestaci贸n de los servicios esenciales o digitales, que informen sobre incidentes no podr谩n sufrir consecuencias adversas en su puesto de trabajo o con la empresa, salvo en los supuestos en que se acredite mala fe en su actuaci贸n.

Recu茅rdese a los efectos de la aplicaci贸n en Espa帽a de la Directiva que los centros de respuesta a incidentes de seguridad cibern茅tica, en lo concerniente a las relaciones con los operadores de servicios esenciales son 1潞 El CCN-CERT, del Centro Criptol贸gico Nacional, al que corresponde la comunidad de referencia constituida por las entidades del 谩mbito subjetivo de aplicaci贸n de la Ley 40/2015, de 1 de octubre de R茅gimen Jur铆dico del Sector P煤blico.聽2.潞 El INCIBE-CERT, del Instituto Nacional de Ciberseguridad de Espa帽a, al que corresponde la comunidad de referencia constituida por aquellas entidades no incluidas en el 谩mbito subjetivo de la Ley 40/2015, de 1 de octubre. (el INCIBE-CERT es operado conjuntamente por el INCIBE y el Centro Nacional de Protecci贸n de Infraestructuras y Ciberseguridad (CNPIC) en todo lo que se refiera a la gesti贸n de incidentes que afecten a los operadores cr铆ticos.聽3.潞 El ESPDEF-CERT, del Ministerio de Defensa, que cooperar谩 con el CCN-CERT (centro criptol贸gico nacional) y el INCIBE-CERT en aquellas situaciones que 茅stos requieran en apoyo de los operadores de servicios esenciales y, necesariamente, en aquellos operadores que tengan incidencia en la Defensa Nacional y que reglamentariamente se determinen.聽En lo concerniente a las relaciones con los proveedores de servicios digitales que no estuvieren comprendidos en la comunidad de referencia del CCN-CERT: el INCIBE-CERT.聽El INCIBE-CERT ser谩, as铆 mismo, equipo de respuesta a incidentes de referencia para los ciudadanos, entidades de derecho privado y otras entidades no incluidas anteriormente.

Los CSIRT de referencia se coordinar谩n entre s铆 y con el resto de CSIRT nacionales e internacionales en la respuesta a los incidentes y gesti贸n de riesgos de seguridad que les correspondan. En los supuestos de especial gravedad que reglamentariamente se determinen y que requieran un nivel de coordinaci贸n superior al necesario en situaciones ordinarias, el CCN-CERT ejercer谩 la coordinaci贸n nacional de la respuesta t茅cnica de los CSIRT.聽Cuando las actividades que desarrollen puedan afectar de alguna manera a un operador cr铆tico, los CSIRT de referencia se coordinar谩n con el Ministerio del Interior, a trav茅s de la Oficina de Coordinaci贸n Cibern茅tica del Centro Nacional de Protecci贸n de Infraestructuras y Ciberseguridad (CNPIC), de la forma que reglamentariamente se determine.

**Redactado con el apoyo del Proyecto de Investigaci贸n 芦Libertad de Mercado y sobreendeudamiento de consumidores: estrategias jur铆dico-econ贸micas para garantizar una segunda oportunidad禄 (N煤m. Ref. DER2016-80568-R). Ministerio de Econom铆a y Competitividad (Espa帽a) del que la autora forma parte como investigadora.

Publicado por

Elena F P茅rez Carrillo

Doctora en Derecho. Profesora de Derecho Mercantil Universidad de Le贸n