Directiva NIS de ámbito europeo

Feb, 2021 | Seguridad

La conocida como la Directiva NIS (Security of Network and Information Systems) es la norma de ámbito europeo destinada a garantizar un adecuado nivel común de seguridad de las redes y sistemas de información en la UE.

Aprobada en julio de 2016, integra los requisitos mínimos comunes en materia de desarrollo de capacidades y planificación, intercambio de información, cooperación y requisitos comunes de seguridad para los operadores de servicios esenciales y los proveedores de servicios digitales.

La directiva NIS regula la seguridad de las redes y sistemas de información utilizados para la provisión de los servicios digitales esenciales

Permite mejorar la protección frente a las amenazas que afectan a las redes y sistemas de información, fijando un marco de cooperación entre las instituciones que facilita la coordinación de las actuaciones realizadas en esta materia principalmente dentro de la Unión Europea.

Real Decreto 43/2021, de 26 de enero

Real Decreto íntegro

La transposición de esta Directiva NIS al ordenamiento jurídico español se llevó a cabo mediante el Real Decreto-ley 12/2018, de 07 de septiembre y habilita al Gobierno, en su disposición final tercera, para su desarrollo reglamentario.

Con esa cobertura legal, y cumpliendo con lo estipulado en dicho mandato, el reciente Real Decreto 43/2021, de 26 de enero, lo desarrolla. en lo relativo al cumplimiento de las obligaciones de seguridad de los operadores de servicios esenciales y de los proveedores de servicios digitales y a la gestión de incidentes de seguridad.

Este real decreto desarrolla los supuestos de cooperación y coordinación entre los equipos de respuesta a incidentes de seguridad informática (CSIRT) de referencia, y de estos con las autoridades competentes, que se instrumentan a través de la Plataforma Nacional de Notificación y Seguimiento de Ciberincidentes.

Detallemos varios aspectos de alguno de sus artículos:

Capítulo III – Requisitos de seguridad

Artículo 6

Medidas para el cumplimiento de las obligaciones de seguridad

Los operadores de servicios esenciales y los proveedores de servicios digitales deberán adoptar las medidas técnicas y de organización adecuadas y proporcionadas para gestionar los riesgos que afecten a la seguridad de las redes y sistemas de información utilizados para la prestación de sus servicios, tanto si se trata de redes y sistemas propios, como de proveedores externos.

Los operadores de servicios esenciales deberán aprobar unas políticas de seguridad de las redes y sistemas de información, atendiendo a los principios de seguridad integral, gestión de riesgos, prevención, respuesta y recuperación, líneas de defensa, reevaluación periódica y segregación de tareas.

La relación de medidas adoptadas se formalizará en la Declaración de Aplicabilidad de medidas de seguridad, suscrita por el responsable de seguridad

Dichas políticas considerarán, como mínimo, los siguientes aspectos:

a) Análisis y gestión de riesgos.

b) Gestión de riesgos de terceros o proveedores.

c) Catálogo de medidas de seguridad, organizativas, tecnológicas y físicas.

d) Gestión del personal y profesionalidad.

e) Adquisición de productos o servicios de seguridad.

f) Detección y gestión de incidentes.

g) Planes de recuperación y aseguramiento de la continuidad de las operaciones.

h) Mejora continua.

i) Interconexión de sistemas.

j) Registro de la actividad de los usuarios.

Las medidas de seguridad que se adopten por los operadores de servicios esenciales deberán tener en cuenta, en particular, la dependencia de las redes y sistemas de información y la continuidad de servicios o suministros contratados por el operador, así como las interacciones que presenten con redes y sistemas de información de terceros.

La relación de medidas adoptadas se formalizará en un documento denominado Declaración de Aplicabilidad de medidas de seguridad, que será suscrito por el responsable de seguridad de la información designado.

Artículo 7

Responsable de seguridad de la información

En este punto, el Real Decreto indica que, los operadores de servicios esenciales deben designar a una persona, unidad u órgano colegiado, responsable de la seguridad de la información, que ejercerá las funciones de punto de contacto y coordinación técnica con la autoridad competente y CSIRT de referencia que le corresponda.

Los operadores de servicios esenciales deben designar a una persona, unidad u órgano colegiado, responsable de la seguridad de la información

El plazo para llevar a cabo dicha designación será de tres meses desde su designación como operador de servicios esenciales.

Se desarrollarán bajo su responsabilidad, entre otras, las siguientes funciones:

1- Elaborar y proponer las políticas de seguridad, que incluirán las medidas técnicas y organizativas, adecuadas y proporcionadas, para gestionar los riesgos que se planteen para la seguridad de las redes y sistemas de información utilizados y para prevenir y reducir al mínimo los efectos de los ciberincidentes que afecten a la organización y los servicios.

2- Supervisar y desarrollar la aplicación de las políticas de seguridad, normativas y procedimientos derivados de la organización, supervisar su efectividad y llevar a cabo controles periódicos de seguridad.

3- Elaborar el documento de Declaración de Aplicabilidad de medidas de seguridad.

4- Actuar como capacitador de buenas prácticas en seguridad de las redes y sistemas de información, tanto en aspectos físicos como lógicos.

5- Remitir a la autoridad competente, a través del CSIRT de referencia y sin dilación indebida, las notificaciones de incidentes que tengan efectos perturbadores en la prestación de los servicios.

6.- Recibir, interpretar y supervisar la aplicación de las instrucciones y guías emanadas de la autoridad competente, tanto para la operativa habitual como para la subsanación de las deficiencias observadas.

7- Recopilar, preparar y suministrar información o documentación a la autoridad competente o el CSIRT de referencia, a su solicitud o por propia iniciativa.

Por último, el real decreto permite al responsable de la seguridad de la información, desarrollar estas funciones apoyándose en servicios prestados por terceros.

Los operadores de servicios esenciales garantizarán que el responsable de la seguridad de la información cumpla con los siguientes requisitos:

1.- Contar con personal con conocimientos especializados y experiencia en materia de ciberseguridad, desde los puntos de vista organizativo, técnico y jurídico, adecuados al desempeño de las funciones indicadas en el apartado anterior.

2.- Contar con los recursos necesarios para el desarrollo de dichas funciones.

3.- Ostentar una posición en la organización que facilite el desarrollo de sus funciones, participando de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la seguridad, y manteniendo una comunicación real y efectiva con la alta dirección.

4.- Mantener la debida independencia respecto de los responsables de las redes y los sistemas de información.

Siempre que concurran los requisitos de conocimiento, experiencia, independencia y, en su caso, titulación, las funciones y responsabilidades encomendadas al responsable de la seguridad de la información podrán compatibilizarse con las señaladas para el Responsable de Seguridad y Enlace y el Responsable de Seguridad del Esquema Nacional de Seguridad, de conformidad con lo dispuesto en la normativa aplicable a estas figuras.

Capítulo IV – Gestión de incidentes de seguridad

Artículo 8

Gestión de incidentes de seguridad

Los operadores de servicios esenciales y los proveedores de servicios digitales deberán gestionar y resolver los incidentes de seguridad que afecten a las redes y sistemas de información utilizados para la prestación de sus servicios.

Esta obligación alcanza tanto a los incidentes detectados por el propio operador o proveedor como a los que les señalen el CSIRT de referencia o la autoridad competente, cuando tengan conocimiento de alguna circunstancia que haga sospechar de la existencia de un incidente.

Los operadores de servicios esenciales y los proveedores de servicios digitales podrán solicitar voluntariamente ayuda especializada del CSIRT de referencia para la gestión de los incidentes, debiendo en tales casos atender a las indicaciones que reciban de este para resolver el incidente, mitigar sus efectos y reponer los sistemas afectados.

Artículo 9

Obligaciones de notificación de incidentes

Los operadores de servicios esenciales notificarán a la autoridad competente respectiva, a través del CSIRT de referencia, los incidentes que puedan tener efectos perturbadores significativos en dichos servicios, considerándose a tal efecto los incidentes con un nivel de impacto crítico, muy alto o alto.

Asimismo, notificarán los sucesos o incidencias que, por su nivel de peligrosidad, puedan afectar a las redes y sistemas de información empleados para la prestación de los servicios esenciales, aun cuando no hayan tenido todavía un efecto adverso real sobre aquellos. A estos efectos, se considerarán los incidentes con un nivel de peligrosidad crítico, muy alto o alto.

La notificación de un ciberincidente conforme a este real decreto no excluye ni sustituye la notificación que de los mismos hechos deba realizarse a otros organismos conforme a su normativa específica.

En particular, las obligaciones de notificación previstas en los apartados anteriores son independientes de las que deban realizarse a la Agencia Española de Protección de Datos.

Artículos 10 y 11

Procedimientos de notificación de incidentes y Plataforma Nacional de Notificación y Seguimiento de Ciberincidentes

Según estos artículos, el procedimiento de notificación de incidentes se articula a través de la Plataforma Nacional de Notificación y Seguimiento de Ciberincidentes, a fin de permitir el intercambio de información entre los operadores de servicios esenciales y proveedores de servicios digitales, las autoridades competentes y los CSIRT de referencia.

Artículos 12 y 13

Información sobre incidentes y Actuaciones ante incidentes con carácter presuntamente delictivo

En cumplimiento de lo dispuesto en el artículo 262 de la Ley de Enjuiciamiento Criminal, la OCC comunicará a la mayor brevedad posible al Ministerio Fiscal y, en su caso, a las Unidades orgánicas de Policía Judicial competentes, aquellos incidentes de seguridad que le sean notificados y que revistan carácter presuntamente delictivo, trasladando al tiempo la información que posea en relación con ello. A dicho fin podrá requerir de los operadores afectados o de los CSIRT de referencia cuanta información relacionada con el incidente se estime necesaria.

Artículo 14

Consulta con otras autoridades

Las consultas con otras autoridades con competencia en materia de seguridad pública y seguridad ciudadana se realizarán a través de la OCC.

Capítulo V – Supervisión

Artículo 15

Supervisión del cumplimiento de obligaciones de seguridad y de notificaciones de incidentes

1. Las autoridades competentes supervisarán en su ámbito de actuación el cumplimiento de las obligaciones de seguridad y de notificación de incidentes que se apliquen a los operadores de servicios esenciales y a los proveedores de servicios digitales.

2. Los operadores de servicios esenciales y los proveedores de servicios digitales colaborarán con la autoridad competente en dicha supervisión, facilitando las actuaciones de inspección, proporcionando toda la información que a tal efecto se les requiera, y aplicando las instrucciones dictadas, en su caso, para la subsanación de las deficiencias observadas.

3. El cumplimiento de las obligaciones de seguridad en las redes y sistemas de información podrá ser acreditado mediante la certificación en un esquema de seguridad que, previa consulta al CSIRT de referencia, sea reconocido por la autoridad competente.

4. Las autoridades competentes podrán realizar las actuaciones inspectoras que sean precisas para el ejercicio de su función de control. En particular, las actuaciones de inspección de las autoridades competentes, que podrán ser apoyadas por los CSIRT de referencia, tendrán por objeto:

a) Controlar el cumplimiento de las normas e instrucciones técnicas que, en su caso, resulten aplicables a los operadores sujetos a su supervisión.

b) Verificar el cumplimiento de las funciones del responsable de seguridad de la información designado por los operadores de servicios esenciales.

c) Realizar las comprobaciones, inspecciones, pruebas y revisiones necesarias para verificar el cumplimiento de las medidas de seguridad.

Cuando el volumen o complejidad de las actuaciones de inspección que deban desarrollarse así lo aconseje, las autoridades competentes podrán requerir al operador de servicios esenciales la remisión de un informe de auditoría, elaborado por una entidad externa, solvente e independiente, sobre la seguridad de sus redes y sistemas de información.

5. Los CSIRT de referencia colaborarán con las autoridades competentes, cuando estas se lo requieran, en el ejercicio de las funciones a las que se refiere el apartado anterior. En particular, facilitarán asesoramiento técnico sobre la idoneidad de las medidas de seguridad adoptadas por los operadores de servicios esenciales y los proveedores de servicios digitales en virtud del artículo 6 de este real decreto.

Asimismo, cuando se trate de operadores con incidencia en la Defensa Nacional, el ESPDEF-CERT del Mando Conjunto del Ciberespacio podrá colaborar en la supervisión con la autoridad competente.

6. En el caso de los proveedores de servicios digitales la supervisión se llevará a cabo de manera coordinada con las autoridades competentes correspondientes de los Estados miembros de la Unión Europea donde dichos proveedores presten servicios o tengan su establecimiento principal en la Unión.

FUENTE: BOE

ARTÍCULOS RELACIONADOS

OTROS ARTÍCULOS

La Movilidad en una orografía peculiar

La Movilidad en una orografía peculiar

Jaume Bonell Argelich, director Departament de Mobilitat del Govern d’Andorra, recibe a Canal de Noticias USECIM para hablarnos de la Movilidad de un país de casi 80.000 habitantes y con una climatología y una orografía muy peculiar en sus 439 km de red viaria.

La EENA y el Next generation 112

La EENA y el Next generation 112

Canal de Noticias USECIM charla desde Bruselas con Cristina Lumbreras, directora técnica de la EENA, The European Emergency Number Association, para conocer el presente y futuro de la Asociación no gubernamental y hablar, entre otros temas, del Next generation 112.

Entrevista a Juan Antonio Ferrer

Entrevista a Juan Antonio Ferrer

Juan Antonio Ferrer Medina, presidente de AJDEPLA y 2º jefe de la Policía Local de Málaga, recibe a Canal de Noticias USECIM para trasladarnos la realidad de las Policías Locales en Andalucía y su opinión sobre el actual reparto de responsabilidades dentro del actual modelo policial.

Plataforma ArcGIS para la Seguridad

Plataforma ArcGIS para la Seguridad

ArcGIS permite dotar a los usuarios de los organismos de Seguridad y Emergencias de la capacidad de buscar, crear, visualizar, analizar y compartir información geográfica operacional en cualquier dispositivo, en cualquier lugar y momento, de forma conectada y desconectada.

USEC Professional Awards – edición I

USEC Professional Awards – edición I

Los USEC PROFESSIONAL AWARDS, promovidos por Canal de Noticias USECIM, tienen como misión el reconocimiento público a la importante labor que desempeñan las distintas instituciones, agencias, profesionales y responsables de la Seguridad, las Emergencias y la Movilidad.

Entrevista Julia González Calleja

Entrevista Julia González Calleja

Julia González Calleja, jefa de la Policía Municipal de Valladolid, concede una entrevista a Canal de Noticias USECIM para hablarnos de la historia y del presente del Cuerpo Municipal de la capital vallisoletana y trasladarnos su visión sobre el estatus de las Policías Locales en el actual modelo policial.

eyesCloud3d y eyesNroad

eyesCloud3d y eyesNroad

ecaptureDtech es una empresa líder en análisis y tratamiento de imágenes, y sus plataformas web: eyesCloud3d y eyesNroad pueden ser utilizadas desde cualquier dispositivo, incluido teléfonos móviles, permitiendo generar contenido 3D o modelos 3D espectrales, el reconocimiento de objetos y/o personas mediante la Inteligencia Artificial, IoT y Big Data.

Plan Estratégico de Seguridad Vial

Plan Estratégico de Seguridad Vial

Oskar de Santos Tapia, Comisario General de la Policía Municipal del Ayuntamiento de Madrid desde el mes de enero, recibe a Canal de Noticias USECIM para hablar del Plan Estratégico de Seguridad Vial 2021-2030, elaborado por vez primera en exclusiva por el Cuerpo.

Proyecto GALATEA y SafeSea360

Proyecto GALATEA y SafeSea360

«SafeSea360 es una plataforma colaborativa de Vigilancia y Gestión de Crisis 360º que permite tener conciencia situacional en tiempo real, de diversas situaciones de emergencia y SAR, con el apoyo de las fuentes de datos existentes y de una plataforma multi-dron.»

Presencia y movilidad de personas

Presencia y movilidad de personas

“TekPol es una solución que permite de una forma sencilla, desplegar sensores en espacios que se quieran monitorizar, tanto en interior como en exterior, para poder obtener datos sobre presencia y movilidad de personas a través de sus dispositivos móviles.”

VÍDEOS

Professional Conferences

Charlas

Técnico-operativas

Entrevistas

Suscripción

NEWSLETTER

error: Content is protected !!