El pasado 7 de septiembre se publicó en el BOE el nuevo Real Decreto-Ley 12/2018 que traspone la directiva europea (UE) 2016/1148 del Parlamento Europeo de julio de 2016, también conocida como Directiva NIS.  

Este real decreto-ley se ha hecho esperar más de dos años, y pese a que finalmente disponemos de una legislación que pretende aumentar la confianza de los usuarios y de los proveedores de servicios digitales, no determina de forma clara y concreta las medidas de seguridad obligatorias para los servicios digitales, aunque sí se señalan ciertos aspectos mínimos. Tendremos que esperar a la publicación de disposiciones reglamentarias adicionales, e instrucciones técnicas anunciadas en el artículo 16 de dicho decreto-ley, para conocer con más detalle cómo aplicar esta directiva europea en España.  

En su momento, realizamos una serie de comentarios al anteproyecto, ya que considerábamos que tenían relevancia. Aunque no han sido recogidos, queremos extractar aquí algunos de ellos:

  1. Los proveedores de servicios digitales que sean pequeñas empresas se quedan fuera. Esto nos parece un error, ya que estas pequeñas y microempresas son muy susceptibles de ser atacadas y sufrir enormemente al contar con escasos medios para recuperarse. Y en particular, su impacto puede ser notable, especialmente como proveedores de empresas más grandes, o incluso de proveedores de servicios esenciales.
  2. En cuanto a la adopción de medidas técnicas y organizativas adecuadas, debería recogerse que en caso de que haya terceros implicados en la prestación del servicio, vendrán también obligados y, en su caso, requerir a los propios operadores y proveedores que sean responsables de asegurarse del uso de servicios que les permitan cumplir con sus obligaciones.
  3. Debería institucionalizarse un rol de de Responsable de Seguridad Informática o CISO (Chief Information Security Officer), como ya existe en los operadores críticos, con el fin de coordinar los aspectos relacionados con los aspectos de seguridad TIC.
  4. Dado que la supervisión por terceros es el mecanismo fundamental para asegurar el cumplimiento de medidas de seguridad, el no someterse a una auditoría de seguridad según lo ordenado por la autoridad competente, debería ser considerado como una infracción grave.

Dicho lo anterior, a continuación, resumimos lo más relevante que nos deja esta nueva legislación: 

Ámbito de aplicación 

La ley aplica a la prestación de: 

  • Servicios esenciales identificados en la Ley 8/2011, de 28 de abril (LPIC) sobre las infraestructuras críticas 
  • Servicios digitales tales como comercio online, motores de búsqueda y computación en la nube, cuyo proveedor tenga su domicilio social en España 

Y como exponíamos arriba, quedan exentos de cumplimiento los proveedores de servicios digitales cuando se trate de microempresas o pequeñas empresas. 

Marco estratégico Institucional 

Son autoridades competentes en materia de seguridad de las redes y sistemas de información las siguientes: 

  • Supervisión de los servicios esenciales
    • Para Operadores Críticos, la Secretaría de Estado de Seguridad, del Ministerio del Interior, a través del Centro Nacional de Protección de Infraestructuras y Ciberseguridad (CNPIC). 
    • Para los no designados Operadores Críticos, la autoridad sectorial competente.
  • Supervisión de los servicios digitales: la Secretaría de Estado para el Avance Digital, del Ministerio de Economía y Empresa. 
  • Para los operadores de servicios esenciales y proveedores de servicios digitales que no siendo operadores críticos se encuentren comprendidos en el ámbito de aplicación de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público: el Ministerio de Defensa, a través del Centro Criptológico Nacional (CCN).

Las autoridades competentes supervisarán el cumplimiento de la legislación, establecerán las obligaciones específicas a través de instrucciones técnicas, y ejercerán la potestad sancionadora.

Para los operadores de servicios esenciales y los proveedores de servicios digitales, se establece la obligación de notificar a la autoridad competente, a través del CSIRT de referencia, los incidentes que puedan tener efectos perturbadores significativo. Estos equipos de respuesta a incidentes son:

  • CCN-CERT, para el Sector Público
  • INCIBE-CERT, para ciudadanos y entidades de derecho privado (también y en particular, para servicios digitales)
  • INCIBE-CERT, operado conjuntamente por INCIBE y CNPIC, para los operadores críticos
  • ESPDEF-CERT, del Mando Conjunto de Ciberdefensa, que cooperará con los otros dos CSIRT en aquellas situaciones que éstos requieran en apoyo de los operadores de servicios esenciales y, necesariamente, en aquellos que tengan incidencia en la Defensa Nacional

Punto de contacto único: El Consejo de Seguridad Nacional ejercerá, a través del Departamento de Seguridad Nacional, una función de enlace para garantizar la cooperación transfronteriza.

Obligaciones de seguridad 
  • Adoptar medidas técnicas y organizativas adecuadas y proporcionadas para la gestión del riesgo de las redes y sistemas con el objeto de prevenir y reducir al mínimo el impacto de los incidentes de seguridad. 
  • Los operadores esenciales deben comunicar a la autoridad competente el responsable de la seguridad de la información. 
  • Los proveedores de servicios digitales deberán determinar sus medidas de seguridad teniendo en cuenta como mínimo los siguientes aspectos: 
    • Los avances técnicos 
    • La seguridad de los sistemas e instalaciones; 
    • La gestión de incidentes; 
    • La gestión de la continuidad de las actividades; 
    • La supervisión, auditorías y pruebas; 
    • El cumplimiento de las normas internacionales. 
  • Las autoridades competentes promoverán la utilización de regulaciones, normas o especificaciones técnicas en materia de seguridad. En ausencia de dichas normas, promoverán la aplicación de recomendaciones internacionales y especificaciones técnicas aceptadas a nivel europeo o internacional. 
Notificación de Incidentes 
  • Es obligatorio notificar los incidentes que hayan afectado negativamente a las redes y sistemas implicados en la prestación del servicio cuando se tenga la información suficiente para valorar el impacto producido.  
  • Los prestadores de servicios tienen la obligación de resolver los incidentes, y de pedir ayuda especializada cuando no puedan solucionarlos por sí mismos. 
  • Para determinar la importancia de un incidente se deben tener en cuenta los siguientes factores: número de usuarios afectados, duración, área geográfica afectada, grado de perturbación del servicio, impacto en la actividad económica o social, importancia de las redes y sistemas, y el daño a la reputación. 
  • Cualquier parte interesada que tenga noticia de un incidente, o de que el prestador de servicio haya incumplido los requisitos de seguridad podrá notificarlo a la autoridad competente aportando la información pertinente 
  • Los incidentes deben comunicarse al público interesado cuando su conocimiento sea necesario para evitar nuevos incidentes, o cuando la divulgación de un incidente redunde en beneficio del interés público. 
Supervisión 

La autoridad competente podrá solicitar la política de seguridad y la ejecución de auditorías externas e independientes para evaluar la seguridad de los servicios esenciales. 

Por su parte, los operadores de servicios digitales sólo serán inspeccionados por la autoridad competente cuando se tenga noticia de algún incumplimiento.  

Régimen sancionador 

Las infracciones de la ley se clasifican en tres niveles de la siguiente forma: 

  • Infracción leve con hasta 100.000 € 
  • Infracción grave con hasta 500.000 € 
  • Infracción muy grave con hasta 1.000.000 € 

Esperemos ahora que el desarrollo reglamentario afine todos los aspectos necesarios para conseguir la efectividad que el asunto merece. Próximamente trataremos de plasmar gráficamente el lío de competencias que se han incorporado para dar un trozo a tantas partes como están implicadas.

All you need is LEET

Recibe nuestras comunicaciones suscribiéndote desde este enlace

 

Puedes seguirnos en twitter.com/leet_security

3 de octubre de 2018