La ciberseguridad de las infraestructuras estratégicas españolas acaba de recibir un fuerte impulso a través del Real Decreto-Ley de Seguridad de las Redes y Sistemas de la Información, aprobado el 7 de septiembre. Con esta norma, España traspone a su ordenamiento jurídico la directiva europea sobre la materia, la conocida como Directiva NIS, que establece un marco común de seguridad en la Red en toda la UE y refuerza las medidas de protección en el entorno virtual. La medida llega con retraso, ya que el 9 de mayo finalizó el plazo concedido por la Comisión Europea para su adaptación a las legislaciones nacionales (de hecho Bruselas ya ha iniciado un procedimiento formal de infracción); pero con ella España se pone al día y, lo más importante, refuerza el marco de seguridad de los servicios más importantes para la sociedad.
Este real decreto-ley (en adelante Ley NIS) afecta, por un lado, a los operadores de servicios esenciales; es decir, aquellos necesarios «para el mantenimiento de las funciones sociales básicas, la salud, la seguridad, el bienestar social y económico de los ciudadanos, o el eficaz funcionamiento de las instituciones del Estado y las administraciones públicas, que dependan para su provisión de redes y sistemas de información», según la definición que recoge la propia norma.
Por extensión, las infraestructuras críticas también verán incrementada su seguridad de la información. De ahí que la Ley NIS se haya alineado con la normativa sobre esa materia y sea la Comisión Nacional para la Protección de las Infraestructuras Críticas la que se encargará de identificar cuáles son los servicios esenciales sujetos a ella. De hecho, la nueva norma va más allá del ámbito establecido por la UE en la Directiva NIS y se extiende a los 12 sectores estratégicos que marca la Ley PIC española.
Por otro lado, además de los operadores estratégicos, la Ley NIS obliga igualmente a los proveedores de servicios digitales que sean motores de búsqueda, mercados en línea o de computación en la nube (excepto cuando se trate de pequeñas empresas o microempresas).
Autoridades competentes
Uno de los aspectos más destacados de esta norma es que dibuja un marco de colaboración institucional y estratégico. La Ley NIS identifica a diferentes autoridades de referencia, según el tipo operador o proveedor del que se trate. Estas autoridades se harán cargo, entre otras funciones, de supervisar el cumplimiento de esta ley, establecer obligaciones específicas, colaborar con otras autoridades, dictar guías y normas o sancionar a quienes la incumplan. Serán también las que recibirán, a través de los CSIRT asignados, las notificaciones sobre incidentes de ciberseguridad que produzcan «efectos perturbadores» para las empresas o administraciones sujetas a esta regulación. Las autoridades competentes son:
- La Secretaría de Estado de Seguridad, a través del Centro Nacional de Protección de Infraestructuras y Ciberseguridad (CNPIC), en el caso de los operadores críticos.
- El Ministerio de Defensa, a través del Centro Criptológico Nacional, para aquellos operadores estratégicos y proveedores de servicios digitales de ámbito público que no sean críticos.
- La Secretaría de Estado para el Avance Digital, del Ministerio de Economía y Empresa, para los proveedores de servicios digitales privados.
La Ley NIS identifica a diferentes autoridades de referencia, según el tipo operador o proveedor del que se trate
La norma, no obstante, deja pendiente para el posterior desarrollo reglamentario cuáles serán las autoridades sectoriales correspondientes para aquellos operadores de servicios esenciales que no sean críticos y que no pertenezcan al sector público.
Notificación de incidentes
Una de las disposiciones más controvertidas que introdujo la Directiva NIS es la obligación de que las empresas notifiquen los incidentes de ciberseguridad. Para ello, y con el objetivo de conseguir una mejor respuesta a los ataques, también implantó la necesidad de que los Estados miembros creen una «ventanilla única» a través de la cual comunicar esos percances. La Ley NIS establece fundamentalmente dos CSIRT de referencia para trasladar esos incidentes y uno de apoyo para casos de especial necesidad, que son:
- El CCN-CERT, que atenderá las notificaciones de las entidades de ámbito público. Este centro ha sido designado además como «coordinador nacional» de la respuesta técnica de los CSIRT en los casos de especial gravedad y que requieran una actuación conjunta.
- El Incibe-CERT recibirá las comunicaciones de los operadores críticos y de los proveedores de servicios digitales que no sean públicos. Igualmente será el CSIRT de referencia para ciudadanos y entidades privadas.
- El ESPDEF-CERT, del Ministerio de Defensa, cooperará con los anteriores en aquellos casos de especial necesidad o de carácter militar.
La nueva norma prevé la creación de una «plataforma común» de notificación de incidentes para facilitar y automatizar esas comunicaciones. Esta herramienta también podrá emplearse para trasladar las vulneraciones de seguridad relacionadas con los datos personales, según establece el Reglamento General de Protección de Datos.
El real decreto-ley incluye una serie de factores que orientan a la hora de valorar cuándo es necesario notificar un incidente, si bien no es nada precisa y remite para mayor concreción a la decisión que adopte la Comisión Europea al respecto. La Ley NIS, de nuevo en línea con la normativa PIC, considera que son indicadores de esa necesidad: el número de usuarios afectados, la duración del incidente, su extensión, el grado de perturbación que origine, el alcance del impacto en actividades económicas y sociales cruciales, la importancia de los sistemas o información afectados y el daño a la reputación.
La medida protege, no obstante, la información confidencial que resulte de estas comunicaciones, pero a su vez habilita a las autoridades de referencia para divulgar públicamente o a otras autoridades los incidentes. En ese caso, obviarán aquella información que pueda perjudicar a la organización afectada.
Cooperación
La cooperación a todos los niveles es otra de las bases de esta Ley NIS, tanto a escala nacional como internacional. La regulación establece vínculos entre autoridades y con las empresas para facilitar y mejorar la atención a incidentes como, por ejemplo, el de WannaCry.
El Consejo de Seguridad Nacional ejercerá, a través del Departamento de Seguridad Nacional, la función de enlace que garantice la cooperación transfronteriza de las autoridades competentes, así como con el grupo de cooperación y la red de CSIRT europea.
Medidas de seguridad
Otro de los ejes de este texto es la implantación de medidas técnicas y organizativas de seguridad frente a los riesgos cibernéticos, que se detallarán en el posterior reglamento de desarrollo. Además, las autoridades competentes podrán establecer otras medidas específicas y dictar instrucciones técnicas y guías orientativas para implementar ese refuerzo.
Igualmente destaca la exigencia de nombrar a «la persona, unidad u órgano colegiado responsable de la seguridad de la información, como punto de contacto y de coordinación técnica con a la autoridad competente», cuyas funciones quedarán igualmente para un posterior desarrollo.
La Ley NIS sienta las bases para concretar en el reglamento varios aspectos, como la valoración del impacto de algunos ataques, cuáles serán los «supuestos de especial gravedad» que requieran la coordinación de las autoridades o la notificación de incidentes que no hayan tenido un efecto adverso real.
Infracciones
El capítulo más temido: las infracciones. Los operadores y prestadores de servicios que no cumplan se exponen a sanciones que irán desde amonestaciones o multas hasta 100.000 euros en el caso de infracciones leves, hasta multas que pueden llegar al millón de euros en los casos graves. Aun así, los órganos con competencia sancionadora podrán apercibir a la organización responsable de una infracción para que adopte medidas correctoras en un plazo determinado para evitar este castigo.
Archivado en: