11 octubre 2018
En los últimos años, y a medida que se han ido desarrollando cada vez más las tecnologías, los ataques a sistemas informáticos se han vuelto cada vez más frecuentes. La Unión Europea siempre ha buscado mejorar la seguridad en las redes y en los medios de información dentro de su territorio, debido al carácter transnacional de las operaciones, y a las terribles consecuencias que pueden ocasionar los incidentes de seguridad en este tipo operaciones.
DIRECTIVA NIS
El pasado 9 de agosto de 2016, entró en vigor la Directiva 2016/1148, de 6 de julio de 2016, del Parlamento Europeo y del Consejo, más conocida como “Directiva NIS”, la cual complementa la Estrategia de Ciberseguridad de la Unión Europea, aprobada en febrero de 2013, y cuya trasposición debían tener completa los Estados miembros el 9 de mayo de este año.
APLICACIÓN
La Directiva se aplica a las empresas que presten servicios esenciales para la comunidad y que dependan de las redes y sistemas de información para el desarrollo de su actividad.
OBJETIVO PRINCIPAL
El objetivo principal de la presente Directiva es el de lograr un elevado nivel común de ciberseguridad en la Unión, así como proteger determinados sectores estratégicos que dependen en gran medida de las tecnologías de la información, estableciendo para ello una serie de medidas con objeto de mejorar el funcionamiento del mercado interior.
Desde el punto de vista del Texto que nos ocupa, y en orden a obtener la consecución de este objetivo, se precisa una mayor cooperación entre los Estados Miembros de la Unión, que refuerce y desarrolle la confianza y la seguridad entre ellos, facilitando así el intercambio de información.
La Directiva propone la creación de un Grupo de Cooperación que sirva de apoyo y facilite dicha cooperación estratégica, así como de una red de equipos que den respuesta a incidentes de seguridad informática (CSIRT), de cara a contribuir al aumento de la confianza y la seguridad entre los Estados.
Por otra parte, también establece obligaciones para los Estados Miembros, los cuales deben adoptar una estrategia nacional de seguridad en las redes y sistemas de información, y designar autoridades nacionales competentes, puntos de contacto únicos y CSIRT que tengan funciones relacionadas con dicha seguridad.
REAL DECRETO DE SEGURIDAD DE LAS REDES Y SISTEMAS DE INFORMACIÓN
En el ámbito nacional, el Gobierno el pasado mes de Septiembre aprobó el Real Decreto-ley 12/2018 (RDL 12/2018), de fecha 7 de Septiembre, para la trasposición de la Directiva NIS, quedando a la espera de su posterior convalidación en el Congreso de los Diputados en el plazo máximo de 30 días hábiles.
ÁMBITO APLICACIÓN MATERIAL
Este RD se aplica a las empresas siguientes;
1. Los servicios esenciales dependientes de las redes y sistemas de información de los sectores:
Sector | Ministerio/ Organismo del sistema |
Administración | Ministerio Presidencia |
Ministerio de Interior | |
Ministerio de Defensa | |
Centro Nacional de Inteligencia | |
Ministerio Política Territorial y Administración Pública | |
Espacio | Ministerio de Defensa |
Industria nuclear | Ministerio Industria, Turismo y Comercio |
Consejo de Seguridad Nuclear | |
Industria química | Ministerio Interior |
Instalaciones de investigación | Ministerio Ciencia e Innovación |
Ministerio Medio Ambiente, y Medio Rural y Marino | |
Agua | Ministerio Medio Ambiente, y Medio Rural y Marino |
Energía | Ministerio Industria, Turismo y Comercio |
Ministerio Ciencia e Innovación | |
Tecnologías de la Información y las Comunicaciones (TIC) | Ministerio Industria, Turismo y Comercio |
Ministerio Defensa | |
Centro Nacional de Inteligencia | |
Ministerio Ciencia e Innovación | |
Ministerio Política Territorial y Administración Pública | |
Transporte | Ministerio Fomento |
Alimentación | Ministerio Medio Ambiente, y Medio Rural y Marino |
Ministerio Sanidad, Política Social e Igualdad | |
Ministerio Industria, Turismo y Comercio | |
Sistema financiero y tributario | Ministerio Economía y Hacienda |
2. Los servicios digitales que sean mercados, motores de búsqueda online y servicios de computación en la nube, como los siguientes servicios de la sociedad de la información (numerus apertus):
a. La contratación de bienes o servicios por vía electrónica.
b. La organización y gestión de subastas por medios electrónicos o de mercados y centros comerciales virtuales.
c. La gestión de compras en la red por grupos de personas.
d. El envío de comunicaciones comerciales.
e. El suministro de información por vía telemática.
ÁMBITO APLICACIÓN TERRITORIAL
Los operadores sometidos a dicho texto normativo son aquellos:
- establecidos en España, entendiéndose aquellos que tengan residencia o domicilio social en España y que la gestión administrativa del negocio se realice desde dicha sede.
- Residentes o domiciliados en otro EM que dispongan de un establecimiento permanente en España.
- Los proveedores de servicios digitales que tengan su sede social en España y que constituya su establecimiento principal en la Unión Europea, así como los que, no estando establecidos en la Unión Europea, designen en España a su representante en la Unión para el cumplimiento de la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión.
OBJETIVO PRINCIPAL
La clave es la búsqueda de la “transparencia”, debiendo los operadores de servicios esenciales notificar los incidentes que sufran en las redes y servicios de información que puedan tener un efecto perturbador significativo en los servicios de los operadores, para proceder a subsanar sus efectos cuanto antes.
En definitiva, hemos iniciado el largo camino que puede llevarnos a la cooperación rápida y eficaz a nivel internacional, en el ámbito de la ciberseguridad, así como a lograr una mayor confianza entre los Estados Miembros que tenga como consecuencia un intercambio de información mucho más fluido y transparente.
Comentarios
No hay comentarios