La conocida como la Directiva NIS (Security of Network and Information Systems) es la norma de ámbito europeo destinada a garantizar un adecuado nivel común de seguridad de las redes y sistemas de información en la UE.
Aprobada en julio de 2016, integra los requisitos mínimos comunes en materia de desarrollo de capacidades y planificación, intercambio de información, cooperación y requisitos comunes de seguridad para los operadores de servicios esenciales y los proveedores de servicios digitales.
La directiva NIS regula la seguridad de las redes y sistemas de información utilizados para la provisión de los servicios digitales esenciales
Permite mejorar la protección frente a las amenazas que afectan a las redes y sistemas de información, fijando un marco de cooperación entre las instituciones que facilita la coordinación de las actuaciones realizadas en esta materia principalmente dentro de la Unión Europea.
Real Decreto 43/2021, de 26 de enero
Real Decreto íntegro
La transposición de esta Directiva NIS al ordenamiento jurídico español se llevó a cabo mediante el Real Decreto-ley 12/2018, de 07 de septiembre y habilita al Gobierno, en su disposición final tercera, para su desarrollo reglamentario.
Con esa cobertura legal, y cumpliendo con lo estipulado en dicho mandato, el reciente Real Decreto 43/2021, de 26 de enero, lo desarrolla. en lo relativo al cumplimiento de las obligaciones de seguridad de los operadores de servicios esenciales y de los proveedores de servicios digitales y a la gestión de incidentes de seguridad.
Este real decreto desarrolla los supuestos de cooperación y coordinación entre los equipos de respuesta a incidentes de seguridad informática (CSIRT) de referencia, y de estos con las autoridades competentes, que se instrumentan a través de la Plataforma Nacional de Notificación y Seguimiento de Ciberincidentes.
Detallemos varios aspectos de alguno de sus artículos:
Capítulo III – Requisitos de seguridad
Artículo 6
Medidas para el cumplimiento de las obligaciones de seguridad
Los operadores de servicios esenciales y los proveedores de servicios digitales deberán adoptar las medidas técnicas y de organización adecuadas y proporcionadas para gestionar los riesgos que afecten a la seguridad de las redes y sistemas de información utilizados para la prestación de sus servicios, tanto si se trata de redes y sistemas propios, como de proveedores externos.
Los operadores de servicios esenciales deberán aprobar unas políticas de seguridad de las redes y sistemas de información, atendiendo a los principios de seguridad integral, gestión de riesgos, prevención, respuesta y recuperación, líneas de defensa, reevaluación periódica y segregación de tareas.
La relación de medidas adoptadas se formalizará en la Declaración de Aplicabilidad de medidas de seguridad, suscrita por el responsable de seguridad
Dichas políticas considerarán, como mínimo, los siguientes aspectos:
a) Análisis y gestión de riesgos.
b) Gestión de riesgos de terceros o proveedores.
c) Catálogo de medidas de seguridad, organizativas, tecnológicas y físicas.
d) Gestión del personal y profesionalidad.
e) Adquisición de productos o servicios de seguridad.
f) Detección y gestión de incidentes.
g) Planes de recuperación y aseguramiento de la continuidad de las operaciones.
h) Mejora continua.
i) Interconexión de sistemas.
j) Registro de la actividad de los usuarios.
Las medidas de seguridad que se adopten por los operadores de servicios esenciales deberán tener en cuenta, en particular, la dependencia de las redes y sistemas de información y la continuidad de servicios o suministros contratados por el operador, así como las interacciones que presenten con redes y sistemas de información de terceros.
La relación de medidas adoptadas se formalizará en un documento denominado Declaración de Aplicabilidad de medidas de seguridad, que será suscrito por el responsable de seguridad de la información designado.
Artículo 7
Responsable de seguridad de la información
En este punto, el Real Decreto indica que, los operadores de servicios esenciales deben designar a una persona, unidad u órgano colegiado, responsable de la seguridad de la información, que ejercerá las funciones de punto de contacto y coordinación técnica con la autoridad competente y CSIRT de referencia que le corresponda.
Los operadores de servicios esenciales deben designar a una persona, unidad u órgano colegiado, responsable de la seguridad de la información
El plazo para llevar a cabo dicha designación será de tres meses desde su designación como operador de servicios esenciales.
Se desarrollarán bajo su responsabilidad, entre otras, las siguientes funciones:
1- Elaborar y proponer las políticas de seguridad, que incluirán las medidas técnicas y organizativas, adecuadas y proporcionadas, para gestionar los riesgos que se planteen para la seguridad de las redes y sistemas de información utilizados y para prevenir y reducir al mínimo los efectos de los ciberincidentes que afecten a la organización y los servicios.
2- Supervisar y desarrollar la aplicación de las políticas de seguridad, normativas y procedimientos derivados de la organización, supervisar su efectividad y llevar a cabo controles periódicos de seguridad.
3- Elaborar el documento de Declaración de Aplicabilidad de medidas de seguridad.
4- Actuar como capacitador de buenas prácticas en seguridad de las redes y sistemas de información, tanto en aspectos físicos como lógicos.
5- Remitir a la autoridad competente, a través del CSIRT de referencia y sin dilación indebida, las notificaciones de incidentes que tengan efectos perturbadores en la prestación de los servicios.
6.- Recibir, interpretar y supervisar la aplicación de las instrucciones y guías emanadas de la autoridad competente, tanto para la operativa habitual como para la subsanación de las deficiencias observadas.
7- Recopilar, preparar y suministrar información o documentación a la autoridad competente o el CSIRT de referencia, a su solicitud o por propia iniciativa.
Por último, el real decreto permite al responsable de la seguridad de la información, desarrollar estas funciones apoyándose en servicios prestados por terceros.
Los operadores de servicios esenciales garantizarán que el responsable de la seguridad de la información cumpla con los siguientes requisitos:
1.- Contar con personal con conocimientos especializados y experiencia en materia de ciberseguridad, desde los puntos de vista organizativo, técnico y jurídico, adecuados al desempeño de las funciones indicadas en el apartado anterior.
2.- Contar con los recursos necesarios para el desarrollo de dichas funciones.
3.- Ostentar una posición en la organización que facilite el desarrollo de sus funciones, participando de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la seguridad, y manteniendo una comunicación real y efectiva con la alta dirección.
4.- Mantener la debida independencia respecto de los responsables de las redes y los sistemas de información.
Siempre que concurran los requisitos de conocimiento, experiencia, independencia y, en su caso, titulación, las funciones y responsabilidades encomendadas al responsable de la seguridad de la información podrán compatibilizarse con las señaladas para el Responsable de Seguridad y Enlace y el Responsable de Seguridad del Esquema Nacional de Seguridad, de conformidad con lo dispuesto en la normativa aplicable a estas figuras.
Capítulo IV – Gestión de incidentes de seguridad
Artículo 8
Gestión de incidentes de seguridad
Los operadores de servicios esenciales y los proveedores de servicios digitales deberán gestionar y resolver los incidentes de seguridad que afecten a las redes y sistemas de información utilizados para la prestación de sus servicios.
Esta obligación alcanza tanto a los incidentes detectados por el propio operador o proveedor como a los que les señalen el CSIRT de referencia o la autoridad competente, cuando tengan conocimiento de alguna circunstancia que haga sospechar de la existencia de un incidente.
Los operadores de servicios esenciales y los proveedores de servicios digitales podrán solicitar voluntariamente ayuda especializada del CSIRT de referencia para la gestión de los incidentes, debiendo en tales casos atender a las indicaciones que reciban de este para resolver el incidente, mitigar sus efectos y reponer los sistemas afectados.
Artículo 9
Obligaciones de notificación de incidentes
Los operadores de servicios esenciales notificarán a la autoridad competente respectiva, a través del CSIRT de referencia, los incidentes que puedan tener efectos perturbadores significativos en dichos servicios, considerándose a tal efecto los incidentes con un nivel de impacto crítico, muy alto o alto.
Asimismo, notificarán los sucesos o incidencias que, por su nivel de peligrosidad, puedan afectar a las redes y sistemas de información empleados para la prestación de los servicios esenciales, aun cuando no hayan tenido todavía un efecto adverso real sobre aquellos. A estos efectos, se considerarán los incidentes con un nivel de peligrosidad crítico, muy alto o alto.
La notificación de un ciberincidente conforme a este real decreto no excluye ni sustituye la notificación que de los mismos hechos deba realizarse a otros organismos conforme a su normativa específica.
En particular, las obligaciones de notificación previstas en los apartados anteriores son independientes de las que deban realizarse a la Agencia Española de Protección de Datos.
Artículos 10 y 11
Procedimientos de notificación de incidentes y Plataforma Nacional de Notificación y Seguimiento de Ciberincidentes
Según estos artículos, el procedimiento de notificación de incidentes se articula a través de la Plataforma Nacional de Notificación y Seguimiento de Ciberincidentes, a fin de permitir el intercambio de información entre los operadores de servicios esenciales y proveedores de servicios digitales, las autoridades competentes y los CSIRT de referencia.
Artículos 12 y 13
Información sobre incidentes y Actuaciones ante incidentes con carácter presuntamente delictivo
En cumplimiento de lo dispuesto en el artículo 262 de la Ley de Enjuiciamiento Criminal, la OCC comunicará a la mayor brevedad posible al Ministerio Fiscal y, en su caso, a las Unidades orgánicas de Policía Judicial competentes, aquellos incidentes de seguridad que le sean notificados y que revistan carácter presuntamente delictivo, trasladando al tiempo la información que posea en relación con ello. A dicho fin podrá requerir de los operadores afectados o de los CSIRT de referencia cuanta información relacionada con el incidente se estime necesaria.
Artículo 14
Consulta con otras autoridades
Las consultas con otras autoridades con competencia en materia de seguridad pública y seguridad ciudadana se realizarán a través de la OCC.
Capítulo V – Supervisión
Artículo 15
Supervisión del cumplimiento de obligaciones de seguridad y de notificaciones de incidentes
1. Las autoridades competentes supervisarán en su ámbito de actuación el cumplimiento de las obligaciones de seguridad y de notificación de incidentes que se apliquen a los operadores de servicios esenciales y a los proveedores de servicios digitales.
2. Los operadores de servicios esenciales y los proveedores de servicios digitales colaborarán con la autoridad competente en dicha supervisión, facilitando las actuaciones de inspección, proporcionando toda la información que a tal efecto se les requiera, y aplicando las instrucciones dictadas, en su caso, para la subsanación de las deficiencias observadas.
3. El cumplimiento de las obligaciones de seguridad en las redes y sistemas de información podrá ser acreditado mediante la certificación en un esquema de seguridad que, previa consulta al CSIRT de referencia, sea reconocido por la autoridad competente.
4. Las autoridades competentes podrán realizar las actuaciones inspectoras que sean precisas para el ejercicio de su función de control. En particular, las actuaciones de inspección de las autoridades competentes, que podrán ser apoyadas por los CSIRT de referencia, tendrán por objeto:
a) Controlar el cumplimiento de las normas e instrucciones técnicas que, en su caso, resulten aplicables a los operadores sujetos a su supervisión.
b) Verificar el cumplimiento de las funciones del responsable de seguridad de la información designado por los operadores de servicios esenciales.
c) Realizar las comprobaciones, inspecciones, pruebas y revisiones necesarias para verificar el cumplimiento de las medidas de seguridad.
Cuando el volumen o complejidad de las actuaciones de inspección que deban desarrollarse así lo aconseje, las autoridades competentes podrán requerir al operador de servicios esenciales la remisión de un informe de auditoría, elaborado por una entidad externa, solvente e independiente, sobre la seguridad de sus redes y sistemas de información.
5. Los CSIRT de referencia colaborarán con las autoridades competentes, cuando estas se lo requieran, en el ejercicio de las funciones a las que se refiere el apartado anterior. En particular, facilitarán asesoramiento técnico sobre la idoneidad de las medidas de seguridad adoptadas por los operadores de servicios esenciales y los proveedores de servicios digitales en virtud del artículo 6 de este real decreto.
Asimismo, cuando se trate de operadores con incidencia en la Defensa Nacional, el ESPDEF-CERT del Mando Conjunto del Ciberespacio podrá colaborar en la supervisión con la autoridad competente.
6. En el caso de los proveedores de servicios digitales la supervisión se llevará a cabo de manera coordinada con las autoridades competentes correspondientes de los Estados miembros de la Unión Europea donde dichos proveedores presten servicios o tengan su establecimiento principal en la Unión.
FUENTE: BOE
ARTÍCULOS RELACIONADOS
