Novedades en ciberseguridad para servicios esenciales, prestadores de servicios digitales y sus proveedores

18 febrero, 2021

Reglamento de seguridad de las redes y sistemas de información y Directiva “NIS 2”

El 26 de enero de 2021 se ha publicado el Reglamento de seguridad de las redes y sistemas de información (Real Decreto 43/2021) que viene a desarrollar el Real Decreto-ley 12/2018 (en adelante, “Ley NIS”) que traspuso a nuestro ordenamiento jurídico la Directiva (UE) 2016/1148 relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión (Directiva NIS). Igualmente, se ha publicado por la Comisión Europea una propuesta para la actualización de dicha Directiva NIS (Directiva NIS 2).

De manera previa al análisis, cabe señalar que las obligaciones descritas en la presente nota podrán ser tanto de aplicación a empresas pertenecientes a los sectores indicados, o designados mediante los procedimientos descritos, como a proveedores que puedan prestar servicios a las empresas que sean sujetos obligados por estas normas.

Reglamento de seguridad de las redes y sistemas

El objetivo principal del Reglamento de seguridad de las redes y sistemas es regular la seguridad de las redes y sistemas de información en determinados sectores de actividad, así como dotar de una actuación coordinada por parte de las autoridades tanto a nivel nacional y comunitario en materia de ciberseguridad.

Siendo esto así, se vuelve fundamental conocer los sectores de actividad afectados por la Ley NIS, siendo éstos los siguientes:

Servicios esenciales dependientes de las redes y sistemas de información (en adelante, “Operadores de Servicios Esenciales”)^[1]:

-La Administración Pública, Espacio, Industria Nuclear, Industria Química, Instalaciones de Investigación, Agua, Energía, Salud, Tecnologías de la Información y las Comunicaciones (TIC), Transporte, Alimentación y Sistema Financiero y Tributario; y

Servicios digitales (en adelante, “Proveedores de Servicios Digitales”) que la Ley NIS define como:
- Los mercados en línea (comúnmente conocidos como marketplaces o plataformas de venta de productos y/o servicios de terceros);
- Motores de búsqueda en línea; y
- Servicios de computación en nube o servicios cloud^[2].

Se exceptúan del ámbito de aplicación: (i) los operadores de redes y servicios de comunicaciones electrónicas y los prestadores de servicios electrónicos de confianza que no sean designados como operadores críticos en virtud de la Ley 8/2011, de 28 de abril^[3]; y (ii) los proveedores de servicios digitales cuando se trate de microempresas o pequeñas empresas^[4] (es decir que empleen a menos de 50 empleados o facturen menos de 10 millones de euros).

Dado que son varios los sectores de actividad las autoridades competentes también varían. Existirá una diferenciación entre las autoridades competentes de los Operadores de Servicios Esenciales en función de si además se les considera críticos por la Ley 8/2011, de 28 de abril y su normativa de desarrollo.

Por ejemplo, serán autoridades competentes de los Operadores de Servicios Esenciales Críticos: la Secretaría de Estado de Seguridad del Ministerio del Interior, a través del Centro Nacional de Protección de Infraestructuras y Ciberseguridad (en adelante, “CNPIC”).

Por su parte, la autoridad competente de los Operadores de Servicios Esenciales NO Críticos dependerá del sector de actividad de la empresa. Por ejemplo, el Banco de España en el caso de entidades de crédito, el Ministerio de Economía en el caso de seguros y fondos de pensiones.

En cuanto a los Proveedores de Servicios Digitales tendrán como autoridad competente la Secretaría de Estado para el Avance Digital, del Ministerio de Economía y Empresa^[5].

Por último, están los CSIRT de referencia, equipos de respuesta a incidentes de seguridad informática, que también varían en función del sector de actividad y si estamos ante Operadores de Servicios Esenciales o Proveedores de Servicios Digitales. Sus funciones, entre otras, son monitorizar los incidentes a escala nacional, dar a conocer alertas tempranas a los interesados, evaluar incidentes y dar respuesta, así como fomentar prácticas comunes en materia de gestión de incidentes y riesgos.

Siendo lo anterior de esta manera, desde ECIJA hemos querido recordar cuáles son estas obligaciones y las matizaciones que realiza el Reglamento de desarrollo:

Adopción de medidas de seguridad atendiendo al riesgo asociado

Se establece que tanto Operadores de Servicios Esenciales y Proveedores de Servicios Digitales adopten medidas técnicas y organizativas adecuadas y proporcionadas para gestionar los riesgos que afecten a la seguridad de las redes y sistemas de información, así como las correspondientes medidas de mitigación para dichos riesgos.

Con carácter general, en el ámbito de la Administración Pública se tendrá como referente, en la medida de lo posible, el Esquema Nacional de Seguridad de las Administraciones Electrónicas^[6] u otros esquemas nacionales de seguridad existentes.

Por su parte, en el ámbito privado será válido tomar como referencia estándares de seguridad reconocidos internacionalmente.

Asimismo, la normativa señala que en el análisis de riesgos realizado también se tendrá en cuenta el riesgo asociado al tratamiento de los datos, tal y como lo establece el Reglamento General de Protección de Datos (en adelante, “RGPD”)^[7].

En particular, se establece que los Operadores de Servicios Esenciales aprueben una serie de políticas de seguridad de las redes y sistemas de información que abarquen un listado específico de aspectos como pudieran ser el análisis y gestión de riesgos, un catálogo de medidas de seguridad, organizativas, tecnológicas y físicas, sistemas de detección y gestión de incidentes o planes de recuperación y aseguramiento de la continuidad de las operaciones.

La relación de medidas adoptadas se formalizará en un documento denominado: “Declaración de Aplicabilidad de medidas de seguridad” que deberá estar suscrito por el Responsable de Seguridad de la Información e incorporarse a la Política de Seguridad que apruebe la Dirección de la empresa, existiendo un plazo de seis meses para su envío a la autoridad competente desde que se haya producido la designación como Operador de Servicios Esencial. Dicha Declaración deberá ser revisada cada tres años por parte de la empresa y podrá ser supervisada en cualquier momento por las autoridades competentes.

Notificación de incidentes de seguridad: Plataforma Nacional de Notificación y Seguimiento de Ciberincidentes

Tanto Operadores de Servicios Esenciales como Proveedores de Servicios Digitales tienen la obligación de comunicar aquellos incidentes de seguridad que puedan tener efectos perturbadores significativos en los servicios.

Por su parte, en el caso de Operadores de Servicios Esenciales también se deberá notificar aquellos incidentes cuyo nivel de peligrosidad afecte a las redes y sistemas de información a través del cual se prestan los servicios, pero del que no se haya podido apreciar un efecto adverso real.

La obligación de notificación se extiende a los incidentes que puedan producirse tanto mediante la utilización de redes propias como de terceros. Importante también que los proveedores externos de los sujetos obligados por el Reglamento deberán de aportar medidas de seguridad adecuadas a esta normativa.

El incidente deberá notificarse a las autoridades competentes a través de la Plataforma Nacional de Notificación y Seguimiento de Ciberincidentes tan pronto se conozcan las circunstancias que determinan la notificación, debiendo realizar tantas notificaciones intermedias como sean necesarias para actualizar la información y por último una notificación final tras su resolución. Dicho lo anterior, la propia normativa incorpora unos plazos de referencia en función de si el impacto o la peligrosidad son críticos, muy alto o altos. En algunos casos, los plazos se reducen obligando a una notificación inicial inmediata.

En este sentido, importante hay que señalar que esta obligación de notificación no sustituye otras que puedan existir en normativas de sectores específicos o, por ejemplo, la notificación a la Agencia Española de Protección de datos (en adelante, “AEPD”), si se diesen los requisitos establecidos en el RGPD. También se indica que la AEPD podrá acceder a dicha plataforma.

Nombramiento de un responsable de Seguridad de la Información, punto de contacto de la entidad

Los Operadores de Servicios Esenciales deberán designar una persona o bien un órgano colegiado como responsable de la Seguridad de la Información. Será el punto de contacto con la autoridad competente correspondiente y el CSIRT de referencia. El plazo para comunicar dicho nombramiento es de 3 meses desde la designación como Operador de Servicios Esenciales, debiendo comunicarse también los ceses y nuevos nombramientos.

Son funciones propias del responsable de Seguridad, entre otras:

La ya mencionada suscripción de la Declaración de Aplicabilidad de medidas de seguridad.
La supervisión continuada de las políticas y procedimientos en materia de seguridad, así como la llevanza de controles periódicos.
Comunicar los incidentes de seguridad que tengan efectos perturbadores en la prestación de los servicios en plazo a la autoridad competente a través del CSIRT de referencia.
El seguir las instrucciones indicadas por las autoridades competentes.

El Responsable de Seguridad tendrá que contar con conocimientos especializados y experiencia en materia de ciberseguridad, desde los puntos de vista organizativo, técnico y jurídico, contar con los recursos necesarios para realizar sus funciones, tener independencia de aquellos que son responsables de las redes y sistemas de información, y por último tener un contacto real y efectivo con la alta dirección en todas las cuestiones relativas a la seguridad.

Finalmente, la legislación cuenta con un régimen sancionador para aquellas entidades que incumplan las presentes obligaciones y las multas no son menores (hasta un millón de euros en el caso de infracciones muy graves). Se considera muy grave, por ejemplo, el incumplimiento reiterado en la notificación de los incidentes.

Directiva NIS 2

Por último, cabe mencionar que la Comisión Europea el 16 de diciembre de 2020 como parte de su plan estratégico para seguir avanzando en esta materia a publicado recientemente la propuesta de Directiva NIS 2.

Aunque todavía no en vigor si procede destacar que el catálogo de sectores se amplía, aplicándose a todas las medianas y grandes empresas que puedan encuadrarse en alguno de los siguientes (se destacan los nuevos sectores incorporados):

Infraestructuras digitales;
Proveedores de servicios digitales;
Proveedores de servicios y redes de comunicaciones electrónicas y públicas;
Servicios digitales: plataformas, centros de datos y redes sociales;
Administración Pública;
Proveedores de energía y agua;
Gestión de residuos;
Servicios ejecutados/potenciados por redes espaciales;
Servicios postales;
Servicios de salud, farmacéutica y químicos;
Servicios de alimentación/comida;
Transporte;
Sector financiero;
Manufactura de productos críticos.

Como puede comprobarse, se incluye un catálogo más amplio del que podemos encontrar en la directiva predecesora, aplicándose únicamente a aquellas empresas medianas y grandes que correspondan a uno de los sectores expuestos anteriormente.

De esta manera queda atrás la distinción entre Operadores de Servicios Esenciales y Proveedores de Servicios Digitales, distinguiendo la norma únicamente entre esenciales e importantes.

La Comisión, busca la creación de unidad a nivel de ciberseguridad para Europa en los próximos años, con el objetivo de prevenir, disuadir y responder a ataques. Para ello, NIS 2 propone un conjunto de medidas para perseguir este objetivo:

La puesta en marcha de una red europea para la coordinación de ciberataques y gestión de riesgos que afecten a nivel europeo;
Los Estados miembros, en cooperación con la Comisión y la Agencia de la Unión Europea para la Ciberseguridad (ENISA) llevarán a cabo evaluaciones de riesgo coordinadas de las cadenas de suministro críticas;
En línea con lo anterior, propone la creación de un registro operado por la Agencia de la Unión Europea para la Ciberseguridad (ENISA), en el cual, los Estados miembros podrán volcar los resultados provenientes de evaluaciones de riesgos de las entidades críticas identificadas;
Refuerza el papel del Grupo de Cooperación, como autoridad competente de la toma de decisiones estratégicas comunes.

Da acuerdo con los cambios incorporados en NIS 2, se propone un nuevo enfoque de gestión de riesgos, proporcionando una lista mínima de elementos de básicos de seguridad que deben ser cumplidos, y que cada empresa afectada debe adoptar internamente, también a modo de prueba/test de ciberseguridad, todo ello debiendo incluir una metodología de respuesta a incidentes y gestión de crisis.

Respecto con la cadena de suministros, se promueve un aumento de la ciberseguridad y deber de cuidado, incluso proponiendo que las empresas individuales aborden los riesgos de ciberseguridad a sus cadenas de suministros y proveedores.

La propuesta introduce novedades sobre los procesos de notificación de incidentes, el contenido de los informes (que deberán ser aún más precisos), concluyendo con el objetivo de revelar mayor responsabilidad a las empresas de cumplir con las medidas de seguridad, proponiendo de manera paralela una lista de sanciones administrativas en caso de incumplimiento.

Es decir, la presente normativa ha venido para quedarse, por lo que es determinante verificar por las empresas si se encuentran dentro del ámbito de aplicación de la Ley NIS y cumplir con las obligaciones establecidas en esta materia.

Con ello, las empresas además dotarán de un sistema más robusto de protección a su información, secretos comerciales, entre otros, teniendo presente que son cada vez más elevados el número de incidentes que acontecen a diario a través de las redes y sistemas de información.

_____________

Área de Protección de Datos y Ciberseguridad

+ 34 91 781 61 60

info@ecija.com

[1] La Ley NIS se remite en este extremo a Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas en donde se definen los sectores estratégicos.

[2] Lo que incluye, Infrastructure as a Service (IaaS), Platform as a Service (PaaS) y Software as a Service (SaaS).

[3] Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas

[4] De acuerdo con las definiciones recogidas en la Recomendación 2003/361/CE de la Comisión, de 6 de mayo de 2003, sobre la definición de microempresas, pequeñas y medianas empresas.

[5] En el caso de la Administración Pública tanto respecto de los Operadores de Servicios Esenciales como los Proveedores de Servicios Digitales no críticos la autoridad competente es el Ministerio de Defensa, a través del Centro Criptológico Nacional.

[6] Regulado en el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.

[7] Es decir, “Teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas”.

Cookie	Duración	Descripción
cookielawinfo-checkbox-advertisement	11 months	Esta cookie se establece por el plugin de Consentimiento de Cookies RGPD. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Publicidad".
cookielawinfo-checkbox-analytics	11 months	Esta cookie se establece por el plugin de Consentimiento de Cookies RGPD. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Análisis".
cookielawinfo-checkbox-necessary	11 months	Esta cookie se establece por el plugin de Consentimiento de Cookies RGPD. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
cookielawinfo-checkbox-performance	11 months	Esta cookie se establece por el plugin de Consentimiento de Cookies RGPD. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Rendimiento".
PHPSESSID		Esta cookie es nativa de las aplicaciones PHP. La cookie se utiliza para almacenar e identificar el ID de sesión único de un usuario con el propósito de administrar la sesión del usuario en el sitio web. La cookie es una cookie de sesión y se borra cuando todas las ventanas del navegador se cierran.
viewed_cookie_policy	11 months	La cookie es establecida por el plugin de Consentimiento de la Cookie de RGPD y es usada para almacenar si el usuario ha consentido o no el uso de cookies. No almacena ningún dato personal.

Cookie	Tipo	Duración	Descripción
__stid	0	1 year	Cookie de ShareThis. La cookie se utiliza para el análisis del sitio para determinar las páginas visitadas, la cantidad de tiempo dedicado, etc.
__unam	0	8 months	Cookie de ShareThis. La cookie se utiliza para el análisis del sitio para determinar las páginas visitadas, la cantidad de tiempo dedicado, etc.
_cb	0	1 year	Cookie de Charbeat utilizada con fines analíticos sobre la navegación de este sitio.
_cb_ls	0	1 year	Cookie de Charbeat utilizada con fines analíticos sobre la navegación de este sitio.
_cb_svref	0	30 minutes	Cookie de Charbeat utilizada con fines analíticos sobre la navegación de este sitio.
_chartbeat2	0	1 year	Cookie de Charbeat utilizada con fines analíticos sobre la navegación de este sitio.
_ga	0	2 years	Esta cookie es instalada por Google Analytics. La cookie se utiliza para calcular los datos de visitantes, sesiones, campañas y para hacer un seguimiento del uso del sitio para el informe analítico del mismo. Las cookies almacenan información de forma anónima y asignan un número generado al azar para identificar a los visitantes únicos.
_gat	0	1 minute	Estas cookies son instaladas por Google Universal Analytics para reducir la tasa de solicitudes y limitar la recolección de datos en sitios de alto tráfico.
_gid	0	1 day	Esta cookie es instalada por Google Analytics. La cookie se utiliza para almacenar información de cómo los visitantes utilizan un sitio web y ayuda en la creación de un informe analítico de cómo el sitio web está funcionando. Los datos recogidos incluyen el número de visitantes, la fuente de donde vienen y las páginas visitadas de forma anónima.
ad-id	1	6 months	Proporcionado por amazon-adsystem.com para el seguimiento de las acciones de los usuarios en otros sitios web para proporcionar contenido específico
AMCV_09DCC8AD54D410FF0A4C98A6%40AdobeOrg	0	2 years	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
AMCVS_09DCC8AD54D410FF0A4C98A6%40AdobeOrg	0
audience	0	11 months	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
demdex	0	5 months	Esta cookie se establece bajo el dominio demdex.net y es utilizada por Adobe Audience Manager para ayudar a identificar un visitante único a través de los dominios.
dextp	0	5 months	Cookie establecida por el gerente de audiencias de Adobe. Las cookies almacenan un nombre o ID de proveedor de datos y una marca de tiempo UTC de UNIX. El propósito de la cookie es registrar la última vez que hizo una llamada de sincronización de datos.
GPS	0	30 minutes	Esta cookie es establecida por Youtube y registra una identificación única para rastrear a los usuarios en base a su ubicación geográfica
idsync-qs	0		Cookie de Triton Digital para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
idsync-ts	0		Cookie de Triton Digital para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
idsync-uuid	0
lsdStats	0	3 months
pbw	0	1 year	Cookie para realizar mediciones analítica del tráfico por la página web
pdomid	0	1 year	Cookie para recoger información con fines publicitarios
pid	0	1 year	Ayuda a los usuarios a identificarles y les permite utilizar funciones relacionadas con Twitter de la página web que están visitando.
pxcelPage_c010	0	1 week	Cookie de ShareThis para compartir fácilmente en los sitios sociales.
s_cc	0		Esta cookie es establecida por Adobe Analytics. El propósito de la cookie es determinar si las cookies están habilitadas o no en un navegador.
s_fid	0	5 years	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_invisit	0	30 minutes	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_lv	0	3 years	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_lv_s	0	30 minutes	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_nr	0	4 weeks	Esta cookie es establecida por Adobe Analytics con el propósito de almacenar las fechas en que los usuarios visitan el sitio web y si el usuario es un visitante nuevo o recurrente.
s_vnum	0	4 weeks	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
test_cookie	0	11 months	Cookie usada por Google Doubleclick para ofrecer publicidad al usuario en función de su actividad en el sitio web.
TestIfCookie	0		Cookie usada por Google Doubleclick para ofrecer publicidad al usuario en función de su actividad en el sitio web.
TestIfCookieP	0	1 year	Cookie de Smart adserver para monitorizar y poder personalizar información de interés del usuario.
u	0	2 months
UIDR	0	1 year	Esta cookie se establece bu scorecardresearch.com. La cookie se utiliza para rastrear la actividad de los usuarios a través de Internet en el navegador, como la marca de tiempo de la visita, la dirección IP y las páginas web visitadas más recientemente. y puede que los datos se envíen a terceros para su análisis e informe, con el fin de ayudar a sus clientes a comprender mejor las preferencias de los usuarios.
YSC	1		Estas cookies son establecidas por Youtube y se usan para rastrear las vistas de los videos incrustados.
zc	0	9 years

Cookie	Duración	Descripción
__stid	1 year	Cookie de ShareThis. La cookie se utiliza para el análisis del sitio para determinar las páginas visitadas, la cantidad de tiempo dedicado, etc.
__unam	8 months	Cookie de ShareThis. La cookie se utiliza para el análisis del sitio para determinar las páginas visitadas, la cantidad de tiempo dedicado, etc.
_cb_svref	30 minutes	Cookie de Charbeat utilizada con fines analíticos sobre la navegación de este sitio.
_chartbeat2	1 year	Cookie de Charbeat utilizada con fines analíticos sobre la navegación de este sitio.
AMCV_09DCC8AD54D410FF0A4C98A6%40AdobeOrg	2 years	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
AMCVS_09DCC8AD54D410FF0A4C98A6%40AdobeOrg
audience	11 months	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
idsync-qs		Cookie de Triton Digital para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
idsync-ts		Cookie de Triton Digital para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
lsdStats	3 months
pbw	1 year	Cookie para realizar mediciones analítica del tráfico por la página web
pdomid	1 year	Cookie para recoger información con fines publicitarios
pxcelPage_c010	1 week	Cookie de ShareThis para compartir fácilmente en los sitios sociales.
s_fid	5 years	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_invisit	30 minutes	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_lv	3 years	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_lv_s	30 minutes	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_vnum	4 weeks	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
test_cookie	11 months	Cookie usada por Google Doubleclick para ofrecer publicidad al usuario en función de su actividad en el sitio web.
TestIfCookieP	1 year	Cookie de Smart adserver para monitorizar y poder personalizar información de interés del usuario.
u	2 months
zc	9 years

Sala de Prensa

Reglamento de seguridad de las redes y sistemas de información y Directiva “NIS 2”

Reglamento de seguridad de las redes y sistemas

Adopción de medidas de seguridad atendiendo al riesgo asociado

Notificación de incidentes de seguridad: Plataforma Nacional de Notificación y Seguimiento de Ciberincidentes

Directiva NIS 2