PUBLICIDAD
PUBLICIDAD

España traspone la Directiva NIS de ciberseguridad sin aclarar cuál será su presupuesto

|

La transposición, a la jurisdicción española, de la Directiva (UE) 2016/1148 del Parlamento Europeo  y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión Europea, conocida como la Directiva NIS, es un gran acontecimiento.

Ha sido realizada mediante el Real Decreto-Ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información, publicado el pasado 8 de septiembre en el Boletín Oficial del Estado, tras su aprobación, en Consejo de Ministros 24 horas antes.

PUBLICIDAD

Ahora el Gobierno dispone de un plazo máximo de 30 días hábiles para que sea convalidado en el Congreso de los Diputados. 

PUBLICIDAD

De acuerdo con los expertos consultados por Confilegal, la Directiva NIS es la la pieza normativa europea más importante en el campo de la seguridad, pero tiene un talón de Aquiles, o un «agujero negro»:

De acuerdo con dos buenos conocedores de este campo, Alejandra Frías, magistrada y exvocal del Consejo Nacional de Ciberseguridad, y José Ramón Morales, socio del departamento Mercantil de Garrigues y responsable del área de tecnología, la Directiva NIS es es la pieza normativa más importante que se ha aprobado en el entorno de la Unión Europea sobre ciberseguridad, pero tiene un talón de Aquiles: adolece de presupuesto.

PUBLICIDAD

La Directiva es muy clara y señala en diferentes artículos que junto a lo establecido en dicha norma debe acompañar la correspondiente dotación presupuestaria. No vale las declaraciones programáticas. En el fondo no aparece la dotación presupuestaria correspondiente y eso es un gran problema para su puesta en marcha desde el punto de vista práctico”, explica la magistrada Frías. 

La magistrada Alejandra Frías, exvocal del Consejo Nacional de Ciberseguridad, experta en este campo, cree que sin dinero no se puede hacer nada.

Y recuerda que la Directiva NIS  “obliga a los estados miembros a designar una autoridad nacional competente, a crear unos puntos de contactos únicos y a desarrollar unos CSIRT como lo indica el Real Decreto Ley. Pero la propia Directiva señala que la citada autoridad competente y esos puntos de contactos unidos deben contar con los recursos únicos para el ejercicio de sus funciones”.

Para esta jurista, seguir adelante con los mismos recursos de los que se ha dispuesto hasta ahora es «una ironía».

PUBLICIDAD

Se aparta de todo lo que hacen países de nuestro entorno como Gran Bretaña, Francia o Alemania que están elevando dichas inversiones para proteger la ciberseguridad en sus correspondientes Estados.

«Sin esos recursos nuestro país podría dejar de ser uno de los países punteros en ciberseguridad del mundo», apunta.

PUBLICIDAD

¿Por qué por Decreto Ley?

Morales entiende que había urgencia y que había que hacerlo rápido, tal como establece el artículo 86 de la Constitución.

La opción del Real Decreto-Ley obedece sin duda al interés en que la promulgación de la norma se haga de forma muy rápida, dado que ha transcurrido sobradamente, en el caso español, el plazo de que disponían los estados miembros para incorporarla a derecho interno, que finalizaba el 8 de mayo de 2018. Si bien la opción por  Real Decreto-Ley obliga a seguir un proceso de convalidación posterior por el pleno del Congreso”, explica. 

Este abogado afirma que “la importancia creciente de los activos digitales en las organizaciones y la presencia de sistemas corporativos cada vez más interconectados ha hecho crecer enormemente los riesgos asociados a ciberincidentes que afrontan las organizaciones (empresas y administraciones públicas)”.

José Ramón Morales, socio del departamento Mercantil de Garrigues y responsable del área de Tecnología, entiende que el uso del Real Decreto Ley para transponer la Directiva NIS está justificado.

Y recuerda que «el carácter global de las amenazas cibernéticas hace necesario que la respuesta se produzca a nivel también transnacional. Y la Unión Europea quiere, a través de esta Directiva, impulsar el establecimiento de unos niveles comunes de protección en las redes y sistemas de información, especialmente en sectores de actividad y respecto de operadores que inciden en servicios o elementos de infraestructura críticos (por ejemplo, energía, salud, sistema financiero, entre otros), con alto grado de afectación potencial a un elevado número de usuarios, por lo que un ciberincidente que les afecte puede tener efectos perturbadores significativos».

De ahí que esta sea «la pieza normativa más importante que se ha aprobado en el entorno de la Unión Europea sobre ciberseguridad, y establece obligaciones muy relevantes para los denominados “operadores de servicios esenciales” (operadores que se designarán por el gobierno en relación con sectores estratégicos como el sector financiero,  energía, agua, salud, TIC, transporte, administraciones públicas, industria nuclear, industria química, industria espacial, instalaciones de investigación, alimentación)”.

PUBLICIDAD

Títulos competenciales

A la magistrada Frías le llama mucho la atención de los títulos competenciales, contemplados en el Real Decreto Ley.

“Se basa en el Régimen General de Telecomunicaciones y en la Seguridad Publica reflejados en la propia Constitución. Todo el Real Decreto Ley está impregnado de la esencia de la seguridad nacional. Hay referencias continuadas a este concepto”, señala

También cuenta que “desde noviembre del 2016 el Tribunal Constitucional fijó el título competencial de la seguridad nacional como resultado de la suma de dos títulos competenciales: Uno el de Seguridad Pública que se recoge, pero no así el de Defensa. No aparece en todo el texto hasta que no se habla del CERT de Defensa”.

Frías recuerda que de los tres Equipos de Respuesta a Incidentes Informáticos  (Computer Emergency Response Team, como se les conoce en inglés) que dan servicio a distintos ámbitos de la sociedad llamados CERT estatales, éste el de Defensa  tiene la peculiaridad y muy diferenciada de no solo poder ciberdefenderse «sino también ciberatacar”.

Una sentencia del Constitucional que es referente

“La sentencia de noviembre del 2016 del Tribunal Constitucional es la primera donde se analiza la Ley de Seguridad Nacional», revela. Y establece las competencias de las autoridades y su ámbito de actuación correspondiente.

“Esta es una de las cuestiones que exigía la Directiva NIS”, aclara.

“La propia Directiva NIS señala que dichas autoridades deben recogerse en la Estrategia de Ciberseguridad Nacional, que es algo que nos falta aún.  Se ha anunciado que se ha puesto en marcha el proceso de renovación de dicha estrategia pero a nivel comunitario, la directiva le da mucha importancia al contenido de la estrategia”, dice.

A su juicio es posible que sea más acertado como se ha hecho en nuestro país “y en vez de esperar la estrategia se ha recogido en una norma que tenga un rango superior como es el caso del Real Decreto Ley antes citado”.

Recuerda la importancia que a nivel europeo se le ha dado a esta directiva incluso antes de su aprobación.

“Se crean dos grupos de trabajo, uno de cooperación y el grupo de la red de CSIRT se reunieron informalmente antes de la aprobación de dicha norma. En esos dos grupos, España ha asistido a todas las reuniones y fue uno de los países que mando una de las delegaciones más grande por la propia transversalidad de nuestro modelo de ciberseguridad. Desde aquellas reuniones han pasado dos años, por eso sorprende el trabajo que se hizo en su momento y el retraso en su tramitación como revela la aprobación del Real Decreto Ley».

Obligaciones

De acuerdo con Morales, la Directiva establece obligaciones «para determinados proveedores de servicios digitales, a los que se exige la adopción de medidas de seguridad de las redes y sistemas de información, así como se o les obliga a notificar los ciberincidentes que sufran. También regula la participación de España y los mecanismos de coordinación con las redes europeas de ciberseguridad”.

Otro dato que destaca es que “aunque la norma no concreta las medidas de seguridad específicas que deben adoptarse, sí requiere que sean adecuadas (y proporcionadas) para garantizar la protección de redes y sistemas de información en función del análisis de riesgos que tiene que realizar la propia organización. Por lo que, en este sentido, sigue una metodología similar a la que el Reglamento General de Protección de Datos establece en materia de medidas de seguridad para la protección de los datos personales”.