Novedades en ciberseguridad para servicios esenciales, prestadores de servicios digitales y sus proveedores

Reglamento de seguridad de las redes y sistemas de información y Directiva “NIS 2”

El 26 de enero de 2021 se ha publicado el Reglamento de seguridad de las redes y sistemas de información (Real Decreto 43/2021) que viene a desarrollar el Real Decreto-ley 12/2018 (en adelante, “Ley NIS”) que traspuso a nuestro ordenamiento jurídico la Directiva (UE) 2016/1148 relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión (Directiva NIS). Igualmente, se ha publicado por la Comisión Europea una propuesta para la actualización de dicha Directiva NIS (Directiva NIS 2).

De manera previa al análisis, cabe señalar que las obligaciones descritas en la presente nota podrán ser tanto de aplicación a empresas pertenecientes a los sectores indicados, o designados mediante los procedimientos descritos, como a proveedores que puedan prestar servicios a las empresas que sean sujetos obligados por estas normas.

1. Reglamento de seguridad de las redes y sistemas

 El objetivo principal del Reglamento de seguridad de las redes y sistemas es regular la seguridad de las redes y sistemas de información en determinados sectores de actividad, así como dotar de una actuación coordinada por parte de las autoridades tanto a nivel nacional y comunitario en materia de ciberseguridad.

Siendo esto así, se vuelve fundamental conocer los sectores de actividad afectados por la Ley NIS, siendo éstos los siguientes:

• Servicios esenciales dependientes de las redes y sistemas de información (en adelante, “Operadores de Servicios Esenciales”)^[1]:

-La Administración Pública, Espacio, Industria Nuclear, Industria Química, Instalaciones de Investigación, Agua, Energía, Salud, Tecnologías de la Información y las Comunicaciones (TIC), Transporte, Alimentación y Sistema Financiero y Tributario; y

• Servicios digitales (en adelante, “Proveedores de Servicios Digitales”) que la Ley NIS define como:
  • Los mercados en línea (comúnmente conocidos como marketplaces o plataformas de venta de productos y/o servicios de terceros);
  • Motores de búsqueda en línea; y
  • Servicios de computación en nube o servicios cloud^[2].

Se exceptúan del ámbito de aplicación: (i) los operadores de redes y servicios de comunicaciones electrónicas y los prestadores de servicios electrónicos de confianza que no sean designados como operadores críticos en virtud de la Ley 8/2011, de 28 de abril^[3]; y (ii) los proveedores de servicios digitales cuando se trate de microempresas o pequeñas empresas^[4] (es decir que empleen a menos de 50 empleados o facturen menos de 10 millones de euros).

Dado que son varios los sectores de actividad las autoridades competentes también varían. Existirá una diferenciación entre las autoridades competentes de los Operadores de Servicios Esenciales en función de si además se les considera críticos por la Ley 8/2011, de 28 de abril y su normativa de desarrollo.

Por ejemplo, serán autoridades competentes de los Operadores de Servicios Esenciales Críticos: la Secretaría de Estado de Seguridad del Ministerio del Interior, a través del Centro Nacional de Protección de Infraestructuras y Ciberseguridad (en adelante, “CNPIC”).

Por su parte, la autoridad competente de los Operadores de Servicios Esenciales NO Críticos dependerá del sector de actividad de la empresa. Por ejemplo, el Banco de España en el caso de entidades de crédito, el Ministerio de Economía en el caso de seguros y fondos de pensiones.

En cuanto a los Proveedores de Servicios Digitales tendrán como autoridad competente la Secretaría de Estado para el Avance Digital, del Ministerio de Economía y Empresa^[5].

Por último, están los CSIRT de referencia, equipos de respuesta a incidentes de seguridad informática, que también varían en función del sector de actividad y si estamos ante Operadores de Servicios Esenciales o Proveedores de Servicios Digitales. Sus funciones, entre otras, son monitorizar los incidentes a escala nacional, dar a conocer alertas tempranas a los interesados, evaluar incidentes y dar respuesta, así como fomentar prácticas comunes en materia de gestión de incidentes y riesgos.

Siendo lo anterior de esta manera, desde ECIJA hemos querido recordar cuáles son estas obligaciones y las matizaciones que realiza el Reglamento de desarrollo:

1. Adopción de medidas de seguridad atendiendo al riesgo asociado

Se establece que tanto Operadores de Servicios Esenciales y Proveedores de Servicios Digitales adopten medidas técnicas y organizativas adecuadas y proporcionadas para gestionar los riesgos que afecten a la seguridad de las redes y sistemas de información, así como las correspondientes medidas de mitigación para dichos riesgos.

Con carácter general, en el ámbito de la Administración Pública se tendrá como referente, en la medida de lo posible, el Esquema Nacional de Seguridad de las Administraciones Electrónicas^[6] u otros esquemas nacionales de seguridad existentes.

Por su parte, en el ámbito privado será válido tomar como referencia estándares de seguridad reconocidos internacionalmente.

Asimismo, la normativa señala que en el análisis de riesgos realizado también se tendrá en cuenta el riesgo asociado al tratamiento de los datos, tal y como lo establece el Reglamento General de Protección de Datos (en adelante, “RGPD”)^[7].

En particular, se establece que los Operadores de Servicios Esenciales aprueben una serie de políticas de seguridad de las redes y sistemas de información que abarquen un listado específico de aspectos como pudieran ser el análisis y gestión de riesgos, un catálogo de medidas de seguridad, organizativas, tecnológicas y físicas, sistemas de detección y gestión de incidentes o planes de recuperación y aseguramiento de la continuidad de las operaciones.

La relación de medidas adoptadas se formalizará en un documento denominado: “Declaración de Aplicabilidad de medidas de seguridad” que deberá estar suscrito por el Responsable de Seguridad de la Información e incorporarse a la Política de Seguridad que apruebe la Dirección de la empresa, existiendo un plazo de seis meses para su envío a la autoridad competente desde que se haya producido la designación como Operador de Servicios Esencial. Dicha Declaración deberá ser revisada cada tres años por parte de la empresa y podrá ser supervisada en cualquier momento por las autoridades competentes.

1. Notificación de incidentes de seguridad: Plataforma Nacional de Notificación y Seguimiento de Ciberincidentes

Tanto Operadores de Servicios Esenciales como Proveedores de Servicios Digitales tienen la obligación de comunicar aquellos incidentes de seguridad que puedan tener efectos perturbadores significativos en los servicios.

Por su parte, en el caso de Operadores de Servicios Esenciales también se deberá notificar aquellos incidentes cuyo nivel de peligrosidad afecte a las redes y sistemas de información a través del cual se prestan los servicios, pero del que no se haya podido apreciar un efecto adverso real.

La obligación de notificación se extiende a los incidentes que puedan producirse tanto mediante la utilización de redes propias como de terceros. Importante también que los proveedores externos de los sujetos obligados por el Reglamento deberán de aportar medidas de seguridad adecuadas a esta normativa.

El incidente deberá notificarse a las autoridades competentes a través de la Plataforma Nacional de Notificación y Seguimiento de Ciberincidentes tan pronto se conozcan las circunstancias que determinan la notificación, debiendo realizar tantas notificaciones intermedias como sean necesarias para actualizar la información y por último una notificación final tras su resolución. Dicho lo anterior, la propia normativa incorpora unos plazos de referencia en función de si el impacto o la peligrosidad son críticos, muy alto o altos. En algunos casos, los plazos se reducen obligando a una notificación inicial inmediata.

En este sentido, importante hay que señalar que esta obligación de notificación no sustituye otras que puedan existir en normativas de sectores específicos o, por ejemplo, la notificación a la Agencia Española de Protección de datos (en adelante, “AEPD”), si se diesen los requisitos establecidos en el RGPD. También se indica que la AEPD podrá acceder a dicha plataforma.

1. Nombramiento de un responsable de Seguridad de la Información, punto de contacto de la entidad

Los Operadores de Servicios Esenciales deberán designar una persona o bien un órgano colegiado como responsable de la Seguridad de la Información. Será el punto de contacto con la autoridad competente correspondiente y el CSIRT de referencia. El plazo para comunicar dicho nombramiento es de 3 meses desde la designación como Operador de Servicios Esenciales, debiendo comunicarse también los ceses y nuevos nombramientos.

Son funciones propias del responsable de Seguridad, entre otras:

• La ya mencionada suscripción de la Declaración de Aplicabilidad de medidas de seguridad.
• La supervisión continuada de las políticas y procedimientos en materia de seguridad, así como la llevanza de controles periódicos.
• Comunicar los incidentes de seguridad que tengan efectos perturbadores en la prestación de los servicios en plazo a la autoridad competente a través del CSIRT de referencia.
• El seguir las instrucciones indicadas por las autoridades competentes.

El Responsable de Seguridad tendrá que contar con conocimientos especializados y experiencia en materia de ciberseguridad, desde los puntos de vista organizativo, técnico y jurídico, contar con los recursos necesarios para realizar sus funciones, tener independencia de aquellos que son responsables de las redes y sistemas de información, y por último tener un contacto real y efectivo con la alta dirección en todas las cuestiones relativas a la seguridad.

Finalmente, la legislación cuenta con un régimen sancionador para aquellas entidades que incumplan las presentes obligaciones y las multas no son menores (hasta un millón de euros en el caso de infracciones muy graves). Se considera muy grave, por ejemplo, el incumplimiento reiterado en la notificación de los incidentes.

2. Directiva NIS 2

Por último, cabe mencionar que la Comisión Europea el 16 de diciembre de 2020 como parte de su plan estratégico para seguir avanzando en esta materia a publicado recientemente la propuesta de Directiva NIS 2.

Aunque todavía no en vigor si procede destacar que el catálogo de sectores se amplía, aplicándose a todas las medianas y grandes empresas que puedan encuadrarse en alguno de los siguientes (se destacan los nuevos sectores incorporados):

• Infraestructuras digitales;
• Proveedores de servicios digitales;
• Proveedores de servicios y redes de comunicaciones electrónicas y públicas;
• Servicios digitales: plataformas, centros de datos y redes sociales;
• Administración Pública;
• Proveedores de energía y agua;
• Gestión de residuos;
• Servicios ejecutados/potenciados por redes espaciales;
• Servicios postales;
• Servicios de salud, farmacéutica y químicos;
• Servicios de alimentación/comida;
• Transporte;
• Sector financiero;
• Manufactura de productos críticos.

Como puede comprobarse, se incluye un catálogo más amplio del que podemos encontrar en la directiva predecesora, aplicándose únicamente a aquellas empresas medianas y grandes que correspondan a uno de los sectores expuestos anteriormente.

De esta manera queda atrás la distinción entre Operadores de Servicios Esenciales y Proveedores de Servicios Digitales, distinguiendo la norma únicamente entre esenciales e importantes.

La Comisión, busca la creación de unidad a nivel de ciberseguridad para Europa en los próximos años, con el objetivo de prevenir, disuadir y responder a ataques. Para ello, NIS 2 propone un conjunto de medidas para perseguir este objetivo:

• La puesta en marcha de una red europea para la coordinación de ciberataques y gestión de riesgos que afecten a nivel europeo;
• Los Estados miembros, en cooperación con la Comisión y la Agencia de la Unión Europea para la Ciberseguridad (ENISA) llevarán a cabo evaluaciones de riesgo coordinadas de las cadenas de suministro críticas;
• En línea con lo anterior, propone la creación de un registro operado por la Agencia de la Unión Europea para la Ciberseguridad (ENISA), en el cual, los Estados miembros podrán volcar los resultados provenientes de evaluaciones de riesgos de las entidades críticas identificadas;
• Refuerza el papel del Grupo de Cooperación, como autoridad competente de la toma de decisiones estratégicas comunes.

Da acuerdo con los cambios incorporados en NIS 2, se propone un nuevo enfoque de gestión de riesgos, proporcionando una lista mínima de elementos de básicos de seguridad que deben ser cumplidos, y que cada empresa afectada debe adoptar internamente, también a modo de prueba/test de ciberseguridad, todo ello debiendo incluir una metodología de respuesta a incidentes y gestión de crisis.

Respecto con la cadena de suministros, se promueve un aumento de la ciberseguridad y deber de cuidado, incluso proponiendo que las empresas individuales aborden los riesgos de ciberseguridad a sus cadenas de suministros y proveedores.

La propuesta introduce novedades sobre los procesos de notificación de incidentes, el contenido de los informes (que deberán ser aún más precisos), concluyendo con el objetivo de revelar mayor responsabilidad a las empresas de cumplir con las medidas de seguridad, proponiendo de manera paralela una lista de sanciones administrativas en caso de incumplimiento.

Es decir, la presente normativa ha venido para quedarse, por lo que es determinante verificar por las empresas si se encuentran dentro del ámbito de aplicación de la Ley NIS y cumplir con las obligaciones establecidas en esta materia.

Con ello, las empresas además dotarán de un sistema más robusto de protección a su información, secretos comerciales, entre otros, teniendo presente que son cada vez más elevados el número de incidentes que acontecen a diario a través de las redes y sistemas de información.

---

Área de Protección de Datos y Ciberseguridad 

• 34 91 781 61 60

info@ecija.com

---

[1] La Ley NIS se remite en este extremo a Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas en donde se definen los sectores estratégicos.

[2] Lo que incluye, Infrastructure as a Service (IaaS), Platform as a Service (PaaS) y Software as a Service (SaaS).

[3] Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas

[4] De acuerdo con las definiciones recogidas en la Recomendación 2003/361/CE de la Comisión, de 6 de mayo de 2003, sobre la definición de microempresas, pequeñas y medianas empresas.

[5] En el caso de la Administración Pública tanto respecto de los Operadores de Servicios Esenciales como los Proveedores de Servicios Digitales no críticos la autoridad competente es el Ministerio de Defensa, a través del Centro Criptológico Nacional.

[6] Regulado en el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.

[7] Es decir, “Teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas”.