PUBLICIDAD
PUBLICIDAD

La transposición de la Directiva NIS impulsará el llamado «Compliance» de ciberseguridad

La norma implica nuevas obligaciones para los operadores de servicios esenciales y los proveedores de servicios digitalesLa Directiva NIS se aprobó en julio del 2016 para paliar la inexistencia de una estrategia común en materia de ciberseguridad en la UE, lo que suponía una grave vulnerabilidad.
|

¿Cuál es el estado de situación de la implementación de la llamada Ley NIS? La respuesta la ofreció Vicente Moret, letrado de la Comisión Mixta de Seguridad Nacional de las Cortes Generales y experto en sectores regulados, quién repasó  la incidencia de  esta Ley en una charla organizada por la Asociación de Auditoría y Control de Sistemas de Información (ISACA, por sus siglas en inglés) en la capital de España.

La transposición del Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información, conocido como «Ley NIS»  puede tener grandes implicaciones en el modelo de «Compliance» (cumplimiento normativo) de las compañías a las cuáles les afecta.

PUBLICIDAD

Las siglas NIS responden a «Network and Information Security» (seguridad de las redes y los sistemas de información). Sobre mencionada Directiva nuestra publicación ya adelantó su importancia),

PUBLICIDAD

La Directiva NIS se aprobó en julio del 2016 para paliar la inexistencia de una estrategia común en materia de ciberseguridad en la UE, lo que suponía una grave vulnerabilidad “desde el punto de vista de la geopolítica incluso.  Ya estamos en la geopolítica digital”, explicó Moret.

En España, hasta la llegada de esta Directiva y su regulación legislativa, en materia de ciberseguridad solo se había visto implicado el sector público mediante el Esquema Nacional de Seguridad (ENS) de 2010, gracias al cual España se sitúa en el número 16 como país más “ciberseguro”, por encima incluso de Alemania.

PUBLICIDAD

Ahora, el Decreto Ley obliga al sector privado a  subirse a este carro.

En palabras de Moret, “con este Real Decreto la Ciberseguridad comienza a convertirse un sector regulado, porque se le impone  y establece la evaluación de riesgos obligatoria, un régimen sancionador con altas multas y procedimientos de supervisión continua ”.

¿Y a qué tipo de empresas afecta?

Claramente, a las pertenecientes a los “sectores regulados” como la luz, el agua, la banca…, actividades privadas sometidas a un alto nivel de regulación por su importancia, que la administración debe tutelarlas e imponerles más obligaciones de las normales que afectan al resto de empresas.

PUBLICIDAD

Hay 171 compañías en esa lista, que es reservada, para evitar dar pistas a quienes quisieran hacer daño a la sociedad a través de ellas.

El 9 de noviembre de 2019 entrarán en el listado una segunda ronda de empresas de sectores que no están en la primera lista (espacial, químico, investigación, alimentación y la Administración.

PUBLICIDAD

Obliga a empresas con sede en España, en otro país de la UE y las no europeas, ambas si tienen establecido un representante permanente en nuestro país.

Están excluidas o exentas  las televisiones, las radios, y las micro empresas (menos de 10 asalariados) o pequeñas empresas (menos de 250 asalariados).

La segunda gran categoría obligada es la de “prestadores” de servicios digitales, con la vista puesta en la regulación de un mercado único digital. Serían mercados en línea, motores de búsqueda en línea y servicios de computación en nube.

Cualquier empresa que preste servicios digitales está obligada a comunicar su actividad a la administración, a modo de registro.

Ha nacido el ‘Compliance’ sobre ciberseguridad

En opinión de Moret, los tiempos del ciberespacio como ámbito fuera de la ley se han terminado.

PUBLICIDAD

La aprobación de la Directiva NIS, primero, y el Real Decreto-Ley 12/2018, segundo, suponen un intento de convertir la ciberseguridad en un sector de actividad casi regulado.

Según Moret, con esto “ha nacido el ‘Compliance’ sobre ciberseguridad que supondrá una nueva línea de negocio”.

Para este experto, los  abogados tendrán que ir de la mano de los ingenieros, lo que supone  un primer paso y un gran avance para que el mundo del derecho entre para quedarse en el mundo de la ciberseguridad.

La regulación se da en un contexto idóneo del sector, como muestra el dato de los 250.000 millones de euros de crecimiento adicional en el PIB en los próximos 5 años, o los 120.000 profesionales año que son necesarios en materia de  seguridad solo en España.

Según Lloret, “España cuenta con mecanismos,  protocolos, responsabilidades y estructura como para que cualquier incidente grave contra el Estado nos podría superar por emvergadura, pero no por la inacción. Somos un país que nos adaptamos rápido y muy flexible como cultura.  Estamos en la posición 16 en materia de ciberseguridad según Naciones Unidas”.

Autoridades competentes 

El Propio Decreto-Ley define el marco competente y quiénes regirán la aplicación normativa.

A juicio del letrado de Las Cortes, hay cuatro organismos de cuatro instituciones distintas: El Centro Criptológico Nacional-CERT (Computer Emergency Response Team), perteneciente al Centro Nacional de Inteligencia, que provee de ciberseguridad a Administraciones Públicas y Gobierno, el Instituto Nacional de Ciberseguridad (INCIBE-CERT), que facilita ciberseguridad privada a empresas y particulares, el Centro Nacional de Protección de las Infraestructuras Críticas (CNPIC), y el Mando Conjunto de Ciberdefensa (MCCD), encargado de ciber respuesta de de cibertaque de otro estado o actores maliciosos.

Los cuatro ministerios han cedido para tener un mando común: el consejo General de Ciberseguridad, para el que se preveía un sistema rotatorio de dirección, que  finalmente ya no rota.

Vicente Moret es letrado de la Comisión Mixta de Seguridad Nacional de las Cortes Generales y experto en sectores regulados.

De todos, el mando de nivel superior encargado de coordinar es CCN-CERT (CNI).

En los supuestos de especial gravedad, sería el que tiene la última palabra y el contacto con el único punto de contacto nacional con el Departamento de Seguridad Nacional de la Presidencia del Gobierno (cuyo órgano superior es el Consejo de Seguridad Nacional, encargado de la comunicación con la comunidad de ciberseguridad europea).

La norma implica nuevas obligaciones para los operadores de servicios esenciales y los proveedores de servicios digitales:  

En primer lugar,  adoptar medidas técnicas y de organización, es decir, tener medidas de ciberseguridad en tu empresa. Tomar esto más en serio de lo que nos lo hemos tomado hasta ahora, sin caer en el “ciber histerismo”.

También requiere, “contar con una persona responsable de seguridad de la información, que está por comprobar si puede coincidir con la figura del DPO o no; dependerá del volumen de la empresa. Esta figura generará aún más oportunidades de empleo en nuestro país.

Por último, se trata de la obligación de notificar los ciberataques e incidentes relevantes (en la fase inicial, intermedia y final), lo que antes del Decreto Ley muchas veces no se hacía porque se temía el riesgo reputacional que ello conllevaba.  Ahora la máxima va a ser que, ante la mínima duda, hay que notificar para evitar sanciones.

Para gestionar esta obligación se ha creado la Plataforma Lucíaque simplificará procesos de notificación, servirá como canal para comunicar los incidentes y permitirá justificarse ante la administración y así también eludir  responsabilidades patrimoniales resultantes de un ataque o incidente.

El régimen sancionador, la clave del cumplimiento

El régimen sancionador se basa en los clásicos principios de ilegalidad, tipicidad y proporcionalidad y catalogará las infracciones como muy graves, o graves.

No subsanar de las deficiencias detectadas y puestas de manifiesto, incumplir reiteradamente la obligación de notificar incidentes con efectos perturbadores significativos y no resolver o no acudir al Equipo de Ciberseguridad y Gestión de Incidentes españoles (CSIRT), de referencia cuando el incidente esos mismos efectos, serán infracciones  catalogadas de  muy graves y tendrán una multa que va desde los 500.001 euros hasta un millón de euros. 

Incumplir disposiciones reglamentarias o instrucciones técnicas se seguridad referidas a las precauciones mínimas, la falta de adopción de medidas  o para subsanar deficiencias detectadas tras una supervisión de la autoridad, incumplir la obligación de notificar, la notoria falta de interés en la resolución de incidentes, serán consideradas infracciones graves con multas irán desde los 100.001 euros hasta los 500.000 euros.

 Por último, las faltas leves recogen el resto de incumplimientos de la norma  y conllevarán desde la amonestación a multa de 100.000 euros,es decir, que si se incumple y es la primera vez, la legislación prevé la posibilidad de que se enmiende antes de establecer sanciones.

Para ello se facilitará el plazo de un año para solventar las deficiencias en el cumplimiento, y no de 6 meses como estaba según la Ley 39/2015.