Directiva NIS de ámbito europeo

Feb 2, 2021 | Seguridad

La conocida como la Directiva NIS (Security of Network and Information Systems) es la norma de ámbito europeo destinada a garantizar un adecuado nivel común de seguridad de las redes y sistemas de información en la UE.

Aprobada en julio de 2016, integra los requisitos mínimos comunes en materia de desarrollo de capacidades y planificación, intercambio de información, cooperación y requisitos comunes de seguridad para los operadores de servicios esenciales y los proveedores de servicios digitales.

La directiva NIS regula la seguridad de las redes y sistemas de información utilizados para la provisión de los servicios digitales esenciales

Permite mejorar la protección frente a las amenazas que afectan a las redes y sistemas de información, fijando un marco de cooperación entre las instituciones que facilita la coordinación de las actuaciones realizadas en esta materia principalmente dentro de la Unión Europea.

Real Decreto 43/2021, de 26 de enero

Real Decreto íntegro

La transposición de esta Directiva NIS al ordenamiento jurídico español se llevó a cabo mediante el Real Decreto-ley 12/2018, de 07 de septiembre y habilita al Gobierno, en su disposición final tercera, para su desarrollo reglamentario.

Con esa cobertura legal, y cumpliendo con lo estipulado en dicho mandato, el reciente Real Decreto 43/2021, de 26 de enero, lo desarrolla. en lo relativo al cumplimiento de las obligaciones de seguridad de los operadores de servicios esenciales y de los proveedores de servicios digitales y a la gestión de incidentes de seguridad.

Este real decreto desarrolla los supuestos de cooperación y coordinación entre los equipos de respuesta a incidentes de seguridad informática (CSIRT) de referencia, y de estos con las autoridades competentes, que se instrumentan a través de la Plataforma Nacional de Notificación y Seguimiento de Ciberincidentes.

Detallemos varios aspectos de alguno de sus artículos:

Capítulo III – Requisitos de seguridad

Artículo 6

Medidas para el cumplimiento de las obligaciones de seguridad

Los operadores de servicios esenciales y los proveedores de servicios digitales deberán adoptar las medidas técnicas y de organización adecuadas y proporcionadas para gestionar los riesgos que afecten a la seguridad de las redes y sistemas de información utilizados para la prestación de sus servicios, tanto si se trata de redes y sistemas propios, como de proveedores externos.

Los operadores de servicios esenciales deberán aprobar unas políticas de seguridad de las redes y sistemas de información, atendiendo a los principios de seguridad integral, gestión de riesgos, prevención, respuesta y recuperación, líneas de defensa, reevaluación periódica y segregación de tareas.

La relación de medidas adoptadas se formalizará en la Declaración de Aplicabilidad de medidas de seguridad, suscrita por el responsable de seguridad

Dichas políticas considerarán, como mínimo, los siguientes aspectos:

a) Análisis y gestión de riesgos.

b) Gestión de riesgos de terceros o proveedores.

c) Catálogo de medidas de seguridad, organizativas, tecnológicas y físicas.

d) Gestión del personal y profesionalidad.

e) Adquisición de productos o servicios de seguridad.

f) Detección y gestión de incidentes.

g) Planes de recuperación y aseguramiento de la continuidad de las operaciones.

h) Mejora continua.

i) Interconexión de sistemas.

j) Registro de la actividad de los usuarios.

Las medidas de seguridad que se adopten por los operadores de servicios esenciales deberán tener en cuenta, en particular, la dependencia de las redes y sistemas de información y la continuidad de servicios o suministros contratados por el operador, así como las interacciones que presenten con redes y sistemas de información de terceros.

La relación de medidas adoptadas se formalizará en un documento denominado Declaración de Aplicabilidad de medidas de seguridad, que será suscrito por el responsable de seguridad de la información designado.

Artículo 7

Responsable de seguridad de la información

En este punto, el Real Decreto indica que, los operadores de servicios esenciales deben designar a una persona, unidad u órgano colegiado, responsable de la seguridad de la información, que ejercerá las funciones de punto de contacto y coordinación técnica con la autoridad competente y CSIRT de referencia que le corresponda.

Los operadores de servicios esenciales deben designar a una persona, unidad u órgano colegiado, responsable de la seguridad de la información

El plazo para llevar a cabo dicha designación será de tres meses desde su designación como operador de servicios esenciales.

Se desarrollarán bajo su responsabilidad, entre otras, las siguientes funciones:

1- Elaborar y proponer las políticas de seguridad, que incluirán las medidas técnicas y organizativas, adecuadas y proporcionadas, para gestionar los riesgos que se planteen para la seguridad de las redes y sistemas de información utilizados y para prevenir y reducir al mínimo los efectos de los ciberincidentes que afecten a la organización y los servicios.

2- Supervisar y desarrollar la aplicación de las políticas de seguridad, normativas y procedimientos derivados de la organización, supervisar su efectividad y llevar a cabo controles periódicos de seguridad.

3- Elaborar el documento de Declaración de Aplicabilidad de medidas de seguridad.

4- Actuar como capacitador de buenas prácticas en seguridad de las redes y sistemas de información, tanto en aspectos físicos como lógicos.

5- Remitir a la autoridad competente, a través del CSIRT de referencia y sin dilación indebida, las notificaciones de incidentes que tengan efectos perturbadores en la prestación de los servicios.

6.- Recibir, interpretar y supervisar la aplicación de las instrucciones y guías emanadas de la autoridad competente, tanto para la operativa habitual como para la subsanación de las deficiencias observadas.

7- Recopilar, preparar y suministrar información o documentación a la autoridad competente o el CSIRT de referencia, a su solicitud o por propia iniciativa.

Por último, el real decreto permite al responsable de la seguridad de la información, desarrollar estas funciones apoyándose en servicios prestados por terceros.

Los operadores de servicios esenciales garantizarán que el responsable de la seguridad de la información cumpla con los siguientes requisitos:

1.- Contar con personal con conocimientos especializados y experiencia en materia de ciberseguridad, desde los puntos de vista organizativo, técnico y jurídico, adecuados al desempeño de las funciones indicadas en el apartado anterior.

2.- Contar con los recursos necesarios para el desarrollo de dichas funciones.

3.- Ostentar una posición en la organización que facilite el desarrollo de sus funciones, participando de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la seguridad, y manteniendo una comunicación real y efectiva con la alta dirección.

4.- Mantener la debida independencia respecto de los responsables de las redes y los sistemas de información.

Siempre que concurran los requisitos de conocimiento, experiencia, independencia y, en su caso, titulación, las funciones y responsabilidades encomendadas al responsable de la seguridad de la información podrán compatibilizarse con las señaladas para el Responsable de Seguridad y Enlace y el Responsable de Seguridad del Esquema Nacional de Seguridad, de conformidad con lo dispuesto en la normativa aplicable a estas figuras.

Capítulo IV – Gestión de incidentes de seguridad

Artículo 8

Gestión de incidentes de seguridad

Los operadores de servicios esenciales y los proveedores de servicios digitales deberán gestionar y resolver los incidentes de seguridad que afecten a las redes y sistemas de información utilizados para la prestación de sus servicios.

Esta obligación alcanza tanto a los incidentes detectados por el propio operador o proveedor como a los que les señalen el CSIRT de referencia o la autoridad competente, cuando tengan conocimiento de alguna circunstancia que haga sospechar de la existencia de un incidente.

Los operadores de servicios esenciales y los proveedores de servicios digitales podrán solicitar voluntariamente ayuda especializada del CSIRT de referencia para la gestión de los incidentes, debiendo en tales casos atender a las indicaciones que reciban de este para resolver el incidente, mitigar sus efectos y reponer los sistemas afectados.

Artículo 9

Obligaciones de notificación de incidentes

Los operadores de servicios esenciales notificarán a la autoridad competente respectiva, a través del CSIRT de referencia, los incidentes que puedan tener efectos perturbadores significativos en dichos servicios, considerándose a tal efecto los incidentes con un nivel de impacto crítico, muy alto o alto.

Asimismo, notificarán los sucesos o incidencias que, por su nivel de peligrosidad, puedan afectar a las redes y sistemas de información empleados para la prestación de los servicios esenciales, aun cuando no hayan tenido todavía un efecto adverso real sobre aquellos. A estos efectos, se considerarán los incidentes con un nivel de peligrosidad crítico, muy alto o alto.

La notificación de un ciberincidente conforme a este real decreto no excluye ni sustituye la notificación que de los mismos hechos deba realizarse a otros organismos conforme a su normativa específica.

En particular, las obligaciones de notificación previstas en los apartados anteriores son independientes de las que deban realizarse a la Agencia Española de Protección de Datos.

Artículos 10 y 11

Procedimientos de notificación de incidentes y Plataforma Nacional de Notificación y Seguimiento de Ciberincidentes

Según estos artículos, el procedimiento de notificación de incidentes se articula a través de la Plataforma Nacional de Notificación y Seguimiento de Ciberincidentes, a fin de permitir el intercambio de información entre los operadores de servicios esenciales y proveedores de servicios digitales, las autoridades competentes y los CSIRT de referencia.

Artículos 12 y 13

Información sobre incidentes y Actuaciones ante incidentes con carácter presuntamente delictivo

En cumplimiento de lo dispuesto en el artículo 262 de la Ley de Enjuiciamiento Criminal, la OCC comunicará a la mayor brevedad posible al Ministerio Fiscal y, en su caso, a las Unidades orgánicas de Policía Judicial competentes, aquellos incidentes de seguridad que le sean notificados y que revistan carácter presuntamente delictivo, trasladando al tiempo la información que posea en relación con ello. A dicho fin podrá requerir de los operadores afectados o de los CSIRT de referencia cuanta información relacionada con el incidente se estime necesaria.

Artículo 14

Consulta con otras autoridades

Las consultas con otras autoridades con competencia en materia de seguridad pública y seguridad ciudadana se realizarán a través de la OCC.

Capítulo V – Supervisión

Artículo 15

Supervisión del cumplimiento de obligaciones de seguridad y de notificaciones de incidentes

1. Las autoridades competentes supervisarán en su ámbito de actuación el cumplimiento de las obligaciones de seguridad y de notificación de incidentes que se apliquen a los operadores de servicios esenciales y a los proveedores de servicios digitales.

2. Los operadores de servicios esenciales y los proveedores de servicios digitales colaborarán con la autoridad competente en dicha supervisión, facilitando las actuaciones de inspección, proporcionando toda la información que a tal efecto se les requiera, y aplicando las instrucciones dictadas, en su caso, para la subsanación de las deficiencias observadas.

3. El cumplimiento de las obligaciones de seguridad en las redes y sistemas de información podrá ser acreditado mediante la certificación en un esquema de seguridad que, previa consulta al CSIRT de referencia, sea reconocido por la autoridad competente.

4. Las autoridades competentes podrán realizar las actuaciones inspectoras que sean precisas para el ejercicio de su función de control. En particular, las actuaciones de inspección de las autoridades competentes, que podrán ser apoyadas por los CSIRT de referencia, tendrán por objeto:

a) Controlar el cumplimiento de las normas e instrucciones técnicas que, en su caso, resulten aplicables a los operadores sujetos a su supervisión.

b) Verificar el cumplimiento de las funciones del responsable de seguridad de la información designado por los operadores de servicios esenciales.

c) Realizar las comprobaciones, inspecciones, pruebas y revisiones necesarias para verificar el cumplimiento de las medidas de seguridad.

Cuando el volumen o complejidad de las actuaciones de inspección que deban desarrollarse así lo aconseje, las autoridades competentes podrán requerir al operador de servicios esenciales la remisión de un informe de auditoría, elaborado por una entidad externa, solvente e independiente, sobre la seguridad de sus redes y sistemas de información.

5. Los CSIRT de referencia colaborarán con las autoridades competentes, cuando estas se lo requieran, en el ejercicio de las funciones a las que se refiere el apartado anterior. En particular, facilitarán asesoramiento técnico sobre la idoneidad de las medidas de seguridad adoptadas por los operadores de servicios esenciales y los proveedores de servicios digitales en virtud del artículo 6 de este real decreto.

Asimismo, cuando se trate de operadores con incidencia en la Defensa Nacional, el ESPDEF-CERT del Mando Conjunto del Ciberespacio podrá colaborar en la supervisión con la autoridad competente.

6. En el caso de los proveedores de servicios digitales la supervisión se llevará a cabo de manera coordinada con las autoridades competentes correspondientes de los Estados miembros de la Unión Europea donde dichos proveedores presten servicios o tengan su establecimiento principal en la Unión.

FUENTE: BOE

ARTÍCULOS RELACIONADOS

OTROS ARTÍCULOS

El asiento salvavidas en las carreteras

El asiento salvavidas en las carreteras

«Algunos siniestros viales son una carnicería y una carrera contra reloj, porque exigen el traslado de los lesionados a un hospital cuanto antes. A ser posible, en los primeros 60 minutos. La hora de oro. Clave para realizar las intervenciones médicas que evitan la muerte».

Futuro de las analíticas de IA en videovigilancia

Futuro de las analíticas de IA en videovigilancia

El Ingeniero de soluciones para el Sur de Europa de AXIS, Alberto Alonso, nos traslada su visión sobre el futuro de las analíticas de IA en la videovigilancia y nos explica el porqué de la rápida propagación del uso de analíticas de video en los sistemas de vigilancia, entre otros temas.

Un referente de debate congresual

Un referente de debate congresual

El USEC Bilbao Congress se convertirá en lugar de interrelación congresual y expositivo de referencia, de debate profundo y de calidad, para los profesionales y las empresas proveedoras de productos y/o servicios de los sectores de la Seguridad, Emergencias y Movilidad.

Entrevista a Jon Michelena, CEPREVEN

Entrevista a Jon Michelena, CEPREVEN

El director general de CEPREVEN, Jon Michelena Muguerza, acepta una entrevista en ‘Canal de Noticias USECIM’ para hablarnos de la Asociación, sus labores formativas y de su trabajo para alcanzar estándares de seguridad y protección contra incendios en toda Europa, entre otros temas.

Entrevista a Jorge Salgueiro Rodríguez

Entrevista a Jorge Salgueiro Rodríguez

Jorge Salgueiro Rodríguez, presidente de AECRA y vocal experto privado en la Comisión Nacional de Seguridad Privada, nos habla de su trabajo en ofertar soluciones jurídico-practicas a las realidades normativas que afectan a la seguridad ciudadana y en proponer mejoras normativas, entre otros asuntos.

Aeronaves no tripuladas en seguridad local

Aeronaves no tripuladas en seguridad local

Francisco Javier Espinosa, Intendente jefe de la Unidad Técnica de Seguridad de la Policía Municipal de Madrid, recibe a ‘Canal de Noticias USECIM’ para hablarnos sobre la utilización de estas aeronaves no tripuladas, operadas por control remoto, en materias vinculadas en la seguridad local.

Entrevista a Andoni Oleagordia Aguirre

Entrevista a Andoni Oleagordia Aguirre

El director de Emergencias y Protección Civil del Ayto. de Bilbao, Andoni Oleagordia Aguirre, recibe a ‘Canal de Noticias USECIM’ para hablarnos del Área que dirige, cómo trabaja en materia de prevención e inspección, cuáles son los tiempos máximos de atención a una emergencia, entre otros temas.

La eficacia de los sistemas de videovigilancia

La eficacia de los sistemas de videovigilancia

La Policía Científica de los Mossos d´Esquadra, de la mano de David Miró, Caporal de la Unidad Central de Fotografía y Audiovisuales, nos traslada unas recomendaciones policiales para aumentar la eficacia de los sistemas de videovigilancia (SVV) en relación con la grabación de personas.

Entrevista a Conrado Fernández, ACCPOLC

Entrevista a Conrado Fernández, ACCPOLC

Conrado Fernández, presidente de ACCPOLC, recibe a ‘Canal de Noticias USECIM’ y nos cuenta cómo nació la asociación para impulsar y defender los intereses de la Policía Local de Cataluña, fomentando el conocimiento y la interacción con las instituciones con las que debe mantener relación.

AESA, Agencia Estatal de Seguridad Aérea

AESA, Agencia Estatal de Seguridad Aérea

Extenso reportaje sobre AESA, la Agencia Estatal de Seguridad Aérea, como organismo adscrito a la Secretaría de Estado de Transporte del Ministerio de Fomento, responsable de velar por el cumplimiento de las normas de aviación civil en la actividad aeronáutica de España.

VÍDEOS

Professional Conferences

Charlas

Técnico-operativas

Entrevistas

Suscripción

NEWSLETTER

error: Content is protected !!