Pasar al contenido principal

Directiva NIS, RDL12/2018 y RD43/2021

¿A quién va dirigido?

La regulación NIS (Network and Information Security) es una regulación de carácter europeo que afecta a la seguridad de las redes y los sistemas de información de cualquier organización que ofrezca servicios esenciales. No obstante, existen ciertas diferencias de aplicabilidad, ya que a nivel europeo el listado de sectores y subsectores afectados es distinto que a nivel nacional.

En cualquier caso, la regulación NIS aplicará expresamente a todas aquellas organizaciones que sean formalmente designadas por la autoridad competente como operadores de servicios esenciales.

Directiva NIS

¿Qué es?

Se trata de una directiva que propone una serie de medidas para aumentar el nivel de seguridad de las redes y sistemas de información, con el fin de proteger los servicios esenciales para la economía y la sociedad de la Unión Europea. Tiene por objeto garantizar que los países de la UE estén bien preparados y dispuestos para gestionar y reaccionar a los ciberataques.

La regulación NIS está compuesta, en la actualidad, por un conjunto de tres documentos regulatorios:

  • La Directiva europea, conocida como Directiva NIS (DIRECTIVA (UE) 2016/1148 del Parlamento Europeo y del Consejo de 6 de julio de 2016 relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión).
  • El Real Decreto-Ley que traspone la citada Directiva NIS (Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información).
  • El Reglamento que desarrolla el Real Decreto Ley anterior, o Reglamento NIS (Real Decreto 43/2021, de 26 de enero, por el que se desarrolla el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información).

Esta regulación establece las medidas de seguridad mínimas que deben cumplir tanto los operadores de servicios esenciales como los proveedores de servicios digitales, de manera diferenciada, para proteger sus redes y sistemas de información, entre las que destacan las siguientes:

  • Desarrollar un proceso de análisis y gestión de riesgos de seguridad de las redes y los sistemas de información.
  • Adoptar medidas de seguridad y continuidad de carácter tanto técnico como organizativo y operativo como consecuencia de dicho análisis de riesgos, y que en el caso de los operadores de servicios esenciales deberán tomar como referencia las medidas establecidas por el Esquema Nacional de Seguridad.
  • Nombrar formalmente, en el caso de los operadores de servicios esenciales, un Responsable de la Seguridad de la Información.
  • Desarrollar mecanismos de gestión y notificación de incidentes de seguridad al CSIRT de referencia.

De este modo, la regulación NIS establece un completo abanico de exigencias en materia de seguridad de las redes y sistemas de información, que garantiza que tanto los operadores de servicios esenciales como los proveedores de servicios digitales presenten unos niveles de ciberseguridad elevados.

Actualmente se está desarrollando una nueva versión directiva, conocida como NIS2, que se espera que sea formalmente aprobada a lo largo de 2022.

Objetivos

Los objetivos de la regulación NIS se pueden resumir en los siguientes puntos:

  • Establecer unos requisitos mínimos comunes para los operadores de servicios esenciales y los proveedores de servicios digitales en materia de desarrollo de capacidades, planificación, intercambio de información y cooperación en materia de ciberseguridad.
  • Garantizar un elevado nivel de seguridad de las redes y sistemas de información que evite planteamientos fragmentados y niveles desiguales de protección de los consumidores y las empresas, evitando comprometer el nivel general de seguridad de las redes y sistemas de información.  
  • Establecer mecanismos que, con una perspectiva integral, permitan mejorar la protección frente a las amenazas que afectan a las redes y sistemas de información.

Beneficios

El marco de ciberseguridad establecido por la regulación NIS beneficiará a las organizaciones afectadas desde diversos puntos de vista:

  • Por una parte, los operadores de servicios esenciales y los proveedores de servicios digitales deben adoptar medidas adecuadas para gestionar los riesgos que se planteen para la seguridad de sus redes y sistemas de información, aunque su gestión esté externalizada.
  • Por otra parte, las obligaciones de seguridad que asuman serán proporcionales al nivel de riesgo que afronten y estarán basadas en una evaluación previa de los mismos.
  • Así mismo, la obligación de notificar los incidentes que sufran en las redes y sistemas de información que emplean para la prestación de los servicios esenciales y digitales, garantizando que los CSIRT de referencia presten el correspondiente apoyo en su gestión y resolución.

Factores a tener en cuenta para la implantación de las exigencias de la regulación NIS

  • El tamaño de la organización
  • El sector de la organización
  • El tipo de servicio prestado por la organización
  • Los servicios considerados
  • Las redes y sistemas de información afectados
  • El nivel de madurez en seguridad.
  • Otros aspectos organizativos.

Fases del proceso de adecuación a la regulación NIS

Fase 1. Lanzar el proyecto

La adecuación a la regulación NIS debe contar con la implicación de la alta dirección de la organización, ya que deberán aprobar las Políticas de seguridad de las redes y sistemas de información, y garantizar que se apliquen en todo momento los principios que la propia regulación establece.

Fase 2. Delimitar el alcance

La organización debe identificar el listado de redes y sistemas de información afectados por la regulación NIS, considerando los servicios esenciales y/o digitales soportados en cada caso.

Así mismo, se deberá prestar esencial atención a la dependencia de las redes y sistemas de información en relación, tanto a servicios o suministros proporcionados por proveedores externos, como a las interacciones que presenten con redes y sistemas de información de terceros.

Fase 3. Nombramiento del Responsable de Seguridad de la Información

Se deberá nombrar al Responsable de Seguridad de la Información, que ejercerá las funciones de punto de contacto y coordinación técnica tanto con la autoridad competente como con el CSIRT de referencia que le corresponda, en un plazo máximo de tres meses desde su designación como operador de servicios esenciales.

Fase 4. Análisis de riesgos

Posteriormente se llevará a cabo el análisis de los riesgos a los que están sujetos las redes y sistemas de información, determinándose las medidas de seguridad aplicables, cuya relación se recogerá en un documento denominado “Declaración de Aplicabilidad”.

Dicha Declaración de Aplicabilidad, junto con la Política de Seguridad, deberán remitirse a la autoridad competente respectiva en el plazo de seis meses desde la designación como operador de servicios esenciales.

Fase 5. Implantación de las medidas de seguridad

Los operadores de servicios digitales y esenciales deberán llevar a cabo la implantación de las medidas de seguridad y continuidad que se consideren necesarias a la vista de los resultados del análisis de riesgos.

Dichas medidas contemplarán expresamente todas las actuaciones necesarias para llevar a cabo un adecuada gestión y notificación de los incidentes de seguridad que se puedan producir.

Así mismo, las medidas que desarrollen los operadores de servicios esenciales deberán estar regidas por lo establecido en el Esquema Nacional de Seguridad.

Fase 6. Supervisión

Las autoridades competentes supervisarán, en su ámbito de actuación, el cumplimiento de las obligaciones de seguridad y de notificación de incidentes correspondientes tanto a los operadores de servicios esenciales como a los proveedores de servicios digitales. Dicho cumplimiento podrá ser acreditado mediante la certificación en un esquema de seguridad que, previa consulta al CSIRT de referencia, sea reconocido como válido para dicho cometido por parte de la autoridad competente.

¿Dónde recibir asesoramiento o contratar la adecuación a la regulación NIS?

Desde el BCSC, se pone a disposición tanto de los organismos públicos como de las empresas privadas el “Libro Blanco de la Ciberseguridad en Euskadi”, un documento que recoge la visión de conjunto de nuestro ecosistema local con diferentes perspectivas de innovación, investigación, emprendimiento, etc. y en el que se incluye el catálogo de proveedores de ciberseguridad que ofrecen este tipo de servicios, con el objetivo de que las organizaciones interesadas en demandarlos tengan un punto de referencia que contribuya a facilitar la toma de decisiones.

El catálogo sirve de resumen o instantánea del mercado de la ciberseguridad en Euskadi, siendo un listado vivo, revisado y actualizado periódicamente, dada la constante evolución y el avance en la digitalización de los servicios y las oportunidades que se generan.

BCSC Libro Blanco

Referencias

Directiva (UE) 2016/1148 sobre ciberseguridad de las redes y sistemas de información: https://eur-lex.europa.eu/legal-content/ES/LSU/?uri=CELEX:32016L1148

Real Decreto-Ley NIS: https://www.boe.es/diario_boe/txt.php?id=BOE-A-2018-12257

Real Decreto NIS: https://www.boe.es/diario_boe/txt.php?id=BOE-A-2021-1192

Preguntas frecuentes sobre Real Decreto 43/2021: https://www.incibe-cert.es/FAQ-RD_43-2021

Análisis del Real Instituto Elcano:  http://www.realinstitutoelcano.org/wps/portal/rielcano_es/contenido?WCM_GLOBAL_CONTEXT=/elcano/elcano_es/zonas_es/ari19-2021-arteaga-evaluacion-y-revision-de-la-directiva-nis-2-0

Compartir

Compartir en Linkedin