Inicio Directiva NIS
Artículo
Cancelar

Directiva NIS

2024-03-13 Actualizado 2024-03-20 16 minutos lectura

Introducción

Bautizada como directiva NIS (Network and Information Security directive), se trata de una directiva aprobada por el Parlamento Europeo, que recoge las medidas para garantizar un nivel de seguridad elevado en entidades tanto del sector privado como del sector público en toda Europa, mejorando su resiliencia y su capacidad de respuesta a incidentes.

¿Qué es una directiva?

Las directivas son actos legislativos en los cuales se establecen objetivos que todos los países de la UE deben cumplir. Sin embargo, corresponde a cada país elaborar sus propias leyes sobre cómo alcanzar esos objetivos. Ejemplo de ello es la Directiva de la UE sobre plásticos de un solo uso, que reduce el impacto en el medio ambiente de este tipo de plásticos, por ejemplo, limitando e incluso prohibiendo la utilización de platos, pajitas y vasos de este material.

Sienta las bases para la gestión de riesgos de ciberseguridad y la obligación de notificación en las organizaciones de los sectores que cubre.

Entre sus objetivos, destacan la homogeneización de las medidas de seguridad entre organizaciones de diferentes países, y el establecimiento de un marco de comunicación común para la respuesta a eventos e incidencias de seguridad, denominado, Red Europea de Organización de Enlace de Crisis Cibernéticas (EU-CYCLONe)

¿Qué organizaciones están afectadas?

  1. Aquellas que sean designadas como Operadores de Servicios Esenciales (OSE), en función de si prestan un servicio esencial que dependan de redes y sistemas de información. Y si su pérdida o indisponibilidad causan un perjuicio severo a la sociedad. Son designados equiparando la aplicabilidad a las organizaciones afectadas por la Ley de Protección de Infraestructuras Críticas. Pueden ser entidades públicas o privadas que se activan en sectores específicos, como el de la energía, el transporte, la banca y la salud, y que al mismo tiempo cumple algunos criterios esenciales que lo califican como servicio esencial.
  2. Proveedores de Servicios Digitales (PSD), estos incluyen cualquier persona jurídica que ofrezca un servicio digital y más específicamente un comercio online, un motor de búsqueda o un servicio de computación en la nube. Su regulación se justifica debido al hecho de que muchas empresas dependen de estos proveedores para la prestación de sus propios servicios. Y por ello, una parada del servicio digital podría tener importantes efectos para las actividades económicas y sociales esenciales en la UE. Cabe señalar que la Directiva NIS no exige que los Estados miembros identifiquen a los proveedores de servicios digitales, lo que garantiza un enfoque global.

Tres tipos de proveedores de servicios digitales entran dentro del alcance de la Directiva NIS:

  • Proveedores de mercados en línea.
  • Proveedores de motores de búsqueda en línea.
  • Distribuidores de servicios de computación en la nube.

Autoridades relevantes

Se trata de las autoridades competentes, que serán quienes ejerzan las funciones de vigilancia y apliquen el régimen sancionador.

Según el tipo de entidad, se distinguen los siguientes:

  • Centro Nacional de Protección de Infraestructuras Críticas (CNPIC): para todos aquellos OSE que sean Operadores Críticos.
  • Centro Criptológico Nacional (CCN): para todos aquellos OSE y PSD que no sean Operadores Críticos y formen parte del sector público.
  • Autoridad sectorial correspondiente por razón de la materia, según se determine reglamentariamente: para todos aquellos OSE que no sean operadores críticos y no formen parte del sector público.
  • Secretaría de Estado para el Avance Digital, del Ministerio de Energía, Turismo y Agenda Digital: para todos aquellos PSD que no sean operadores críticos y no formen parte del sector público.

Elementos relevantes definidos en la directiva NIS:

Equipos de respuesta a incidentes de seguridad informática de referencia (CSIRT), que serán los encargados de analizar los riesgos y supervisar los incidentes a escala nacional, difundiendo alertas y aportando soluciones para mitigar sus efectos.

Según el tipo de entidad, se distinguen los siguientes:

  • CCN-CERT: para los OSE que formen parte del sector público, y aquellos PSD que forman parte de  la comunidad de referencia del CCN-CERT.
  • INCIBE-CERT: para los OSE que no formen parte del sector público, y aquellos PSD que no forman parte de la comunidad de referencia del CCN-CERT.
  • ESPDEF-CERT: cooperará con CCN-CERT e INCIBE-CERT cuando lo requieran para apoyar a los OSE, y siempre que tenga incidencia en la Defensa Nacional.

Punto de Contacto Único, que será el encargado de garantizar una cooperación transfronteriza con las autoridades competentes y los CSIRT de otros estados miembros, y que será ejercido por parte del Departamento de Seguridad Nacional del Consejo de Seguridad Nacional.

Los requisitos de seguridad a cumplir por OSE y PSDs son los siguientes:

  1. Designar a una persona, unidad u órgano, como responsable de Seguridad como punto de contacto y coordinador técnico.
  2. Establecimiento de desarrollos reglamentarios, órdenes ministeriales, instrucciones y guías que permitan detallar las obligaciones específicas.
  3. Definición de medidas técnicas y de organización para gestionar los riesgos.
  4. Proporcionar información necesaria para evaluar la seguridad de las redes y los sistemas de información.
  5. Proporcionar información sobre la implantación de las políticas de seguridad.
  6. Ser sometido a una auditoría sobre la seguridad de las redes y sistemas de información.
  7. Ser requerido a solucionar las deficiencias detectadas.
  8. Notificación al órgano supervisor de Incidentes de seguridad significativos, según los siguientes parámetros:
    1. Número de usuarios afectados.
    2. Duración del incidente.
    3. Área geográfica afectada.
    4. Nivel de perturbación del servicio.
    5. Impacto en actividades económicas y sociales cruciales.
    6. Criticidad del sistema o de la información afectada por el incidente en un OSE.
    7. Daño reputacional.

Estructura de la directiva NIS

La última versión de la directiva NIS puede ser consultada en el portal de publicación de regulaciones de la unión europea, a través de este enlace

La directiva cuenta con un total de 27 artículos distribuidos en 7 capítulos:

Capitulo 1

El capítulo 1, es de disposiciones generales, cuenta con los siguientes artículos:

  • El artículo 1 define el objeto de la norma y su ámbito de aplicación, en él, se detalla la finalidad de la norma y los diferentes objetivos que persigue.
  • El artículo 2 habla del tratamiento de los datos personales, especificando que debe ser realizado de acuerdo a la directiva 95/46/CE.
  • El artículo 3 establece que la normativa supone un mínimo común en seguridad en las redes y sistemas de información de los estados miembros, no obstante, permite a los Estados miembros establecer medidas adicionales.
  • El artículo 4 define y describe diferentes términos utilizados en la normativa.
  • Los artículos 5 y 6 define que son Operadores de Servicios Esenciales y efecto perturbador definitivo.

Capitulo 2

El capítulo 2 versa sobre marcos nacionales de seguridad de las redes y sistemas de información, compuesto por los siguientes artículos:

  • El artículo 7 habla sobre la estrategia nacional de seguridad de las redes y sistemas de información.

    Los Estados miembros tienen la obligación de aprobar una estrategia nacional sobre seguridad. El enfoque específico de la transposición nacional de la Directiva NIS, corresponde a cada Estado miembro. Para que las disposiciones nacionales sobre requisitos de seguridad se alineen en la mayor medida posible, la Comisión alienta a los Estados miembros a seguir el documento de orientación desarrollado por el Grupo de Cooperación. En este documento se establecen algunos principios generales que todos los Estados miembros deben tener en cuenta al adoptar medidas de seguridad. Estas medidas deben ser efectivas, personalizadas, compatibles, proporcionadas, concretas y verificables.

  • El artículo 8 define las autoridades nacionales competentes y el punto de contacto único.
  • El artículo 9 habla sobre los equipos de respuesta a incidentes (CSIRT).
  • El artículo 10 introduce conceptos de cooperación a escala nacional y sirve de introducción al capítulo 3.

Capitulo 3

El capítulo 3 trata sobre la cooperación en materia de seguridad, esta conformado por los siguientes artículos:

  • El artículo 11 trata de la construcción de grupos de cooperación entre los diferentes Estados miembros.
  • El artículo 12 habla sobre la construcción de una serie de CSIRT nacionales y la colaboración entre los diferentes CSIRT de los Estados miembros.
  • El artículo 13 versa sobre la cooperación internacional.

El Grupo de Cooperación, establecido por la directiva NIS, estará presidido por la Presidencia del Consejo de la Unión Europea y conformado por diferentes representantes de los Estados miembros, la Comisión (en calidad de secretaría) y ENISA.

Dentro de sus funciones, están posibilitar el intercambio de información y la cooperación estratégica y confianza entre los Estados miembros.

También se establece la creación de una red de CSIRT nacionales. La red CSIRT estará compuesta por representantes de los CSIRT de los Estados miembros y del CERT-EU (el Equipo de respuesta ante emergencias informáticas para las instituciones, agencias y organismos de la UE).

Entre las tareas dentro de las competencias de la red CSIRT están:

  • Intercambio de información sobre los servicios, las operaciones y las capacidades de cooperación de los CSIRT.
  • Intercambio de información relacionada con incidentes y riesgos asociados.
  • Identificación de una respuesta coordinada a un incidente.
  • Prestación de apoyo para los Estados miembros al abordar incidentes transfronterizos.

Capitulo 4

El capítulo 4 establece las normas de seguridad de las redes y sistemas de información de los operadores de servicios esenciales, lo forman los siguientes artículos:

  • El artículo 14 trata sobre requisitos en materia de seguridad y notificación de incidentes y el artículo 15 sobre la observación y seguimiento de las mismas.

Los requisitos de seguridad para los OSE y para los PSD implican la obligación de notificar a las autoridades competentes cualquier incidente que tenga un impacto en la continuidad de los servicios (esenciales) que proporciona un operador. Ambos,  no deben notificar incidentes menores, sino solo incidentes graves que afecten la continuidad del servicio esencial.

Se establece una lista de parámetros que deben tenerse en cuenta al determinar la importancia del impacto de un incidente:

  • Número de usuarios afectados.
  • Duración del incidente.
  • Extensión geográfica con respecto al área afectada por el incidente.

Capitulo 5

El capítulo 5 establece las normas de seguridad de las redes y sistemas de información de los proveedores de servicios digitales, lo forman los siguientes artículos:

  • El artículo 16 trata sobre requisitos en materia de seguridad y notificación de incidentes y el 17 sobre la observación y el seguimiento de las mismas.
  • El artículo 18 trata sobre la jurisdicción y territorialidad de los prestadores de servicios digitales.

La Directiva describe las medidas de seguridad que los proveedores de servicios digitales deben tomar para mitigar los riesgos que amenazan la seguridad de la red y los sistemas de información que utilizan para la prestación de su servicio.

Los elementos que un proveedor de servicios digitales debe tener en cuenta al identificar y adoptar medidas de seguridad para su red son:

  • Seguridad de los sistemas e instalaciones.
  • Manejo de incidentes.
  • Gestión de la continuidad del negocio.
  • Monitoreo, auditoría y pruebas.
  • Cumplimiento de las normas internacionales.

Los proveedores de servicios digitales deben notificar a la autoridad competente o al CSIRT cualquier incidente con un impacto sustancial en la prestación de su servicio.

Los parámetros que deben tenerse en cuenta para determinar si el impacto de un incidente es sustancial son:

  • número de usuarios afectados por el incidente, en particular usuarios que confían en el servicio para la prestación de sus propios servicios;
  • duración del incidente;
  • distribución geográfica con respecto al área afectada por el incidente;
  • alcance de la interrupción del funcionamiento del servicio;
  • alcance del impacto en las actividades económicas y sociales.

Capitulo 6

El capítulo 6 trata sobre la normalización y notificación voluntaria, cuenta con los siguientes artículos:

  • El artículo 19 habla sobre la normalización, la utilización de normas agnósticas a la tecnología.
  • El artículo 20 trata de la notificación voluntaria de incidentes por cualquier entidad con independencia de su nombramiento como operador de servicio esencial.

Capitulo 7

El capítulo 7 comprende las disposiciones finales, consta de diferentes artículos en los que se establecen elementos como el régimen sancionador, procedimientos de comité, la revisión de la interpretación y ejecución de la directiva por los estados miembros, medidas transitorias, entrada en vigor, y destinatarios.

Reglamento de Seguridad de las Redes y Sistemas de Información

El Reglamento de Seguridad de las Redes y Sistemas de la Información (Reglamento NIS) tiene como objetivo desarrollar en el territorio nacional lo establecido en la Ley NIS europea, con respecto al marco institucional en la materia, la cooperación y coordinación, la gestión y notificación de incidentes, las medidas a implantar, la supervisión de los requisitos de ciberseguridad o la función del CISO.

Estarán sometidos a este real decreto:

  • Los operadores de servicios esenciales (OSE) y los proveedores de servicios digitales (PSD) que realicen su actividad en España.
  • Los operadores de redes y servicios de comunicaciones electrónicas y los prestadores de servicios electrónicos de confianza que no se consideren como operadores críticos.
  • Los proveedores de servicios digitales cuando sean microempresas o pequeñas empresas, según las definiciones establecidas en la Recomendación 2003/361/CE de la Comisión.

El Reglamento especifica asimismo, que las autoridades competentes en ciberseguridad serán, con carácter general, las que recoge la Ley:

  • Secretarías de Estado de Seguridad.
  • Defensa y para el Avance Digital a través de diferentes órganos.

Para los operadores privados de servicios esenciales que no sean críticos, establece que serán autoridades competentes, los organismos responsables para los sectores de transporte, energía, TIC, sistema financiero, espacio, industria química, instalaciones de investigación, salud, agua, alimentación e industria nuclear.

La cooperación entre los CSIRT de referencia y las autoridades competentes, se llevará a cabo mediante la Plataforma Nacional de Notificación y Seguimiento de Ciberincidentes.

El Departamento de Seguridad Nacional es el punto de contacto único para actuar como enlace entre autoridades nacionales y la Unión Europea, el Grupo de Cooperación Europeo y la red de CSIRT.

El reglamento especifica las funciones de este organismo, entre las que se encuentran:

  • Comunicar a la Comisión Europea la lista de operadores de servicios esenciales nacionales.
  • Transmitir los puntos de contacto de otros Estados miembros, información sobre incidentes con impacto transfronterizo.
  • Enviar a los CSIRT de referencia y a las autoridades competentes nacionales información sobre incidentes con efectos perturbadores en los servicios esenciales que supongan la interrupción de dichos servicios.

Uno de los aspectos destacados del Reglamento NIS es la función que desempeñará el CISO en este marco normativo:

Los operadores de servicios esenciales tendrán que designar a una persona como responsable de la seguridad de la información para que ejerza las funciones de punto de contacto y coordinación con las autoridades competentes y CSIRT de referencia. El objetivo principal de estos profesionales es el de elaborar las políticas de seguridad para gestionar los riesgos para la seguridad de las redes y sistemas de información y reducir el impacto de los ciber incidentes.

Las funciones del responsable de seguridad son:

  • Supervisar y desarrollar políticas de seguridad, normativas y procedimientos.
  • Redactar una Declaración de Aplicabilidad de las medidas de seguridad.
  • Actuar como capacitador de buenas prácticas en seguridad de las redes y sistemas de información, tanto en aspectos físicos como lógicos.
  • Comunicar los incidentes perturbadores a la autoridad competente.

El Reglamento NIS recoge asimismo el procedimiento de gestión de incidentes de seguridad, el proceso de notificación a través de la Plataforma Nacional de Notificación y Seguimiento de Ciberincidentes, así como el sistema de supervisión de cumplimiento de obligaciones de seguridad y notificación de incidentes.

Los OSE y PSD están obligados a implantar las medidas de seguridad técnicas y de organización adecuadas y proporcionadas para gestionar los riesgos que afecten a la seguridad de las redes y sistemas de información que usan para prestar sus servicios, ya sean redes y sistemas propios, o de proveedores externos. Además, se tienen que aprobar unas políticas de seguridad de las redes y sistemas de información, teniendo en cuenta los principios de seguridad integral, gestión de riesgos, prevención, respuesta y recuperación, líneas de defensa, reevaluación periódica y segregación de tareas.

Dichas políticas tendrán en cuenta, como mínimo, los siguientes aspectos:

  • Análisis y gestión de riesgos.
  • Gestión de riesgos de terceros.
  • Catálogo de medidas de seguridad.
  • Gestión del personal.
  • Adquisición de productos o servicios.
  • Detección de eventos de seguridad
  • Gestión de incidentes.
  • Planes de recuperación y continuidad de las operaciones.
  • Mejora continua.
  • Interconexión de sistemas.
  • Registro de la actividad de los usuarios.

En el capitulo 4 del reglamento se define que los OSE y los PSD deben gestionar los incidentes de seguridad que afecten a las redes y sistemas de información que usan para la prestación de sus servicios. En el caso de las redes y sistemas sean propiedad de proveedores externos, deben aplicarse las medidas necesarias para garantizar que dichas acciones serán llevadas a cabo.

La obligación de gestionar y resolver los incidentes de seguridad afecta tanto a aquellos detectados por el operador o un tercero que le proporcione servicio como a los que sean señalados por el CSIRT de referencia, que podrá prestar ayuda. La notificación de los incidentes, debe ser realizada al CSIRT de referencia, cuando puedan tener efectos perturbadores significativos en los servicios. Igualmente, tendrán que dar cuenta de los sucesos o incidencias que pudiesen afectar a las redes y sistemas de información empleados para la prestación de los servicios esenciales, aunque no hayan tenido aún un efecto adverso real sobre aquellos.

La notificación de los incidentes es una función del responsable de la Seguridad de la Información designado.

Los CSIRT de referencia, el CCN-CERT, el INCIBE-CERT y el ESP-DEF-CERT del Mando Conjunto del Ciberespacio, podrá facilitar los actores involucrados el acceso a la Plataforma Nacional de Notificación y Seguimiento de Ciberincidentes, con el objetivo de intercambiar información y hacer un seguimiento de incidentes entre los operadores o proveedores y las autoridades competentes.

Bibliografía y contenidos adicionales

Ciberseguridad en Entornos de las Tecnologías de la Información, Normativa de Ciberseguridad
ciberseguridad en entornos de las tecnologías de la información normativa de ciberseguridad
Este artículo está licenciado bajo CC BY 4.0 por el autor.
Recientemente actualizado
Índice

Esquema Nacional de Seguridad

Tipos de normas y su clasificación