Nueva Directiva Europea en materia de Ciberseguridad

Download PDF

El pasado día 8 de agosto, entró en vigor la Directiva UE 2016/1148, del Parlamento Europeo y del Consejo, de 6 de julio, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión -Security of Network and Information Systems “NIS”-.

  •  Objetivos de la Directiva

I. Introducir un conjunto de normas mínimas de ciberseguridad para los sistemas de redes y de información mantenida por los operadores de los servicios esenciales y los proveedores de servicios digitales.

II. Asegurar que cada Estado Miembro de la UE disponga de estrategias y recursos relacionados con la ciberseguridad.

III. Aumentar la cooperación entre los Estados Miembros para prevenir, gestionar y reaccionar ante los ataques cibernéticos. La Directiva tiene un impacto directo en las organizaciones que se encuentren dentro de las categorías de “operadores de servicios esenciales” y “proveedores de servicios digitales”, a las que la Directiva les atribuye un significado diferenciado.

  •  Obligaciones de los Estados Miembros

I. Adoptar una estrategia nacional de seguridad de las redes y sistemas de información que establezca objetivos estratégicos, medidas políticas y normativas adecuadas con objeto de alcanzar y mantener un elevado nivel de seguridad, un marco de gobernanza para lograr esas, además de otras medidas relativas a la preparación, respuesta y recuperación de un ataque cibernético.

II. Se deberá designar una o más autoridades nacionales competentes en esta materia y un “punto de contacto único”, que ejercerá una función de enlace para garantizar la cooperación transfronteriza.

III. Se deberá designar uno o varios equipos de respuesta a incidentes de seguridad informática -Computer security incident response teams “CSIRTs”-, para controlar la gestión de incidentes, proporcionar una detección temprana y responder de los mismos a escala nacional.

IV. Fomentar el uso de normas de seguridad aceptadas internacionalmente y en la Unión Europea.

  •  Grupo de cooperación y red de CSIRTs

Se establece un Grupo de cooperación con el fin de apoyar y facilitar la cooperación estratégica, el intercambio de información entre los Estados miembros, además de desarrollar confianza y seguridad, con el objetivo de alcanzar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión. Este Grupo estará formado por representantes de los Estados Miembros, la Comisión y la Agencia de Seguridad de las Redes de la Información de la UE -EU Agency for Network and Information Security “ENISA”-. Del mismo modo, se establece una red de CSIRTs nacionales que cooperará activamente con la ENISA.

La Unión podrá celebrar, de conformidad con el artículo 218 del TFUE, acuerdos internacionales con terceros países u organizaciones internacionales que hagan posible y organicen su participación en algunas actividades del Grupo de cooperación.

  •  Operadores de servicios esenciales y proveedores de servicios digitales

Por operador de servicio esencial se entiende una entidad que proporciona un servicio que es esencial para el mantenimiento de actividades sociales o económicas cruciales, la prestación de dicho servicio depende de las redes y sistemas de información, y respecto de la cual un incidente tendría efectos perturbadores significativos en la prestación de dicho servicio.

Los sectores identificados en la Directiva comprenden la energía, el transporte, la banca, las infraestructuras de los mercados financieros, el sector sanitario, el suministro y distribución de agua potable y la infraestructura digital.

Por el contrario, por proveedores de servicios digitales se considera toda persona jurídica que preste un servicio digital. Los servicios digitales identificados en la Directiva son los del mercado en línea, del motor de búsqueda en línea y los de computación en la nube.

  •  Requisitos en materia de seguridad y notificación de incidentes

Dado que el efecto de una perturbación de un servicio digital puede impedir la prestación de otros servicios que dependen de él y afectar, por lo tanto, a actividades económicas y sociales fundamentales en la Unión, la Directiva establece una distinción entre operadores de servicios esenciales y proveedores de servicios digitales, imponiendo obligaciones menos estrictas a estos últimos. Los proveedores de servicios digitales deben seguir pudiendo tomar las medidas que consideren oportunas a fin de gestionar los riesgos que se planteen para la seguridad de sus redes y servicios de información. Debido a su carácter transfronterizo, los proveedores de servicios digitales deben estar sujetos a un planteamiento más armonizado a escala de la Unión.

  •  Aplicación y observancia

La Directiva tiene un enfoque diferenciado también en cuanto a la aplicación frente a los operadores de servicios esenciales y a los proveedores de servicios digitales.

Los proveedores de servicios digitales deben estar sujetos a un tipo de supervisión ligera, reactiva y a posteriori, justificada por la naturaleza de sus servicios y operaciones. Por tanto, la autoridad competente de que se trate debe intervenir únicamente cuando obtenga pruebas, por ejemplo del propio proveedor de servicios digitales, de otra autoridad competente, incluida una autoridad competente de otro Estado Miembro, o de un usuario del servicio, de que un proveedor de servicios digitales no cumple los requisitos de la presente Directiva, en particular después de que se haya producido un incidente. Por consiguiente, la autoridad competente no debe tener la obligación general de supervisar a los proveedores de servicios digitales.

Por el contrario, las autoridades competentes tendrán la facultad de iniciar la evaluación de las medidas de seguridad aplicadas por los operadores de servicios esenciales, pudiendo solicitar información necesaria para evaluar la seguridad de sus redes y sistemas de información, incluyendo la documentación sobre las políticas de seguridad.

  •  Jurisdicción y territorialidad

Un proveedor de servicios digitales se considerará sometido, a los efectos de esta Directiva, a la jurisdicción del Estado Miembro en el que se encuentre su establecimiento principal, esto es, cuando su domicilio social se encuentre en ese Estado Miembro. Además un proveedor de servicios digitales que haya nombrado un representante por no estar establecido en la Unión, se considerará sometido a la jurisdicción del Estado Miembro en el que se encuentre establecido su representante.

  •  Sanciones

Los Estados Miembros establecerán el régimen de sanciones aplicables en caso de incumplimiento de las disposiciones nacionales aprobadas al amparo de la presente Directiva y adoptarán todas las medidas necesarias para garantizar su aplicación, que serán efectivas, proporcionadas y disuasorias.

En definitiva, la Directiva busca establecer estándares comunes de ciberseguridad e incrementar la cooperación entre los Estados Miembros, quedando las entidades que ofrezcan servicios esenciales, como energía, transporte, banca y sanidad, o servicios digitales, como los motores de búsqueda y servicios en la nube, sujetas a tomar medidas ante potenciales ataques cibernéticos.

Finalmente, al tratarse de una Directiva, queda un cierto margen de maniobra para que el legislador nacional adopte medidas relativas a la transposición de aquélla. En este sentido, incluso los Estados Miembros pueden adoptar o mantener disposiciones con el objeto de alcanzar un mayor nivel de seguridad de las redes y sistemas de información.

Calderon Corredera Abogados