El día 28/1/2021, ha salido en el BOE el Real Decreto 43/2021, de 26 de enero, por el que se desarrolla el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información.
Vamos a hablar del Real Decreto-Ley de Seguridad de las Redes y Sistemas de la Información, en adelante, Ley NIS. Esta ley aporta un entorno común en materia de seguridad en la red de la Unión Europea y aporta un plus de seguridad en lo que es la protección en el mundo cibernético. Esta ley afecta a los operadores y proveedores de servicios esenciales con actividad en España, sin olvidarnos de además de los operadores estratégicos. Esta ley obliga igualmente a los proveedores de servicios digitales que sean motores de búsqueda, mercados en línea o de computación en la nube (excepto cuando se trate de pequeñas empresas o microempresas). Una cosa muy importante, es que quedan excluidos de su ámbito de aplicación los operadores de redes y servicios de comunicaciones electrónicas y los prestadores de servicios electrónicos de confianza que no sean designados como operadores críticos, a mayores de los proveedores de servicios digitales cuando se trate de microempresas o pequeñas empresas.
El impacto de la Ley NIS lo podemos notar en que las infraestructuras críticas también verán incrementada su seguridad de la información, es más, esta ley está en sincronía con la Comisión Nacional para la Protección de las Infraestructuras Críticas de forma que esta identificará los servicios esenciales sujetos a la propia ley NIS.
AUTORIDADES
Las instituciones van a tomar un papel muy importante en el aspecto de que van a aportar colaboración para su cumplimiento y una estrategia a seguir, ya que, en el mundo de la seguridad informática, todo está en constante evolución, y se debe de estar, además de adaptados, preparados para contar con una robusta respuesta ante incidentes imprevistos o nunca vistos.
Las autoridades que se relacionan con esta ley directamente son:
- Cuando hablamos de los operadores críticos: La Secretaría de Estado de Seguridad, a través del Centro Nacional de Protección de Infraestructuras y Ciberseguridad (CNPIC).
- Cuando hablamos de operadores estratégicos y proveedores de servicios digitales de ámbito público que no sean críticos: El Ministerio de Defensa a través del Centro Criptológico Nacional (CCN)
- Cuando hablamos de los proveedores de servicios digitales privados: La Secretaría de Estado para el Avance Digital
Las funciones que van a desempeñar los citados órganos, van a ser los siguientes:
- Supervisar el cumplimiento de la Ley NIS
- Establecer obligaciones específicas
- Colaborar con otras autoridades
- Dictar guías y normas
- Sancionar los incumplimientos
Con la actualización recibida ayer, La nueva norma especifica que las autoridades competentes en ciberseguridad serán, con carácter general, las que recoge la Ley NIS hasta el momento de su modificación, pero añadiéndole autoridades competentes para los operadores privados de servicios esenciales que no sean críticos. Los sectores para los que se han designado organismo son:
- Transporte
- Energía
- TIC
- Sistema financiero
- Espacio
- Industria química
- Investigación
- Salud
- Agua
- Alimentación
- Industria nuclear
NOTIFICACIÓN DE INCIDENTES DE CIBERSEGURIDAD
Estos organismos también recibirán, a través de los CSIRT (equipos de respuesta a incidentes de seguridad) asignados, las notificaciones sobre incidentes de ciberseguridad que produzcan “efectos perturbadores” para las empresas o administraciones sujetas a esta regulación. Las medidas adoptadas son, entre otras muchas: La creación de una “ventanilla única” a través de la cual comunicar incidentes de ciberseguridad (como ataques). La Ley NIS establece fundamentalmente dos CSIRT de referencia para trasladar esos incidentes y uno de apoyo:
- El CCN-CERT (Notificaciones de entidades públicas)
- El Incibe-CERT (Comunicaciones de operadores críticos)
- El ESPDEF-CERT (Ministerio de Defensa – Carácter militar)
En esta actualización, la norma crea la Plataforma Nacional de Notificación y Seguimiento de Ciberincidentes. A grandes rasgos, las características de esta plataforma es el seguimiento de incidentes entre los operadores y proveedores de servicios digitales, los CSIRT y las autoridades competentes. A mayores la plataforma crea canales de comunicación seguros para la transmisión de información de todos los organismos citados. esta plataforma garantizará la disponibilidad, autenticidad, integridad y confidencialidad de la información.
PUNTO DE CONTACTO ÚNICO Y COOPERACIÓN
El Departamento de Seguridad Nacional es el punto de contacto único para ejercer de enlace entre autoridades competentes nacionales y de la Unión Europea, el Grupo de Cooperación Europeo y la red de CRSIT.
La actualización del reglamento desarrolla las funciones del Departamento de Seguridad Nacional entre las que tenemos:
- Comunicar a la Comisión Europea la lista de operadores de servicios esenciales nacionales establecidos para cada sector y subsector
- Transmitir los puntos de contacto de otros Estados miembros de la Unión afectados la información sobre incidentes con impacto transfronterizo
- Remitir a los CSIRT de referencia y a las autoridades competentes nacionales la información sobre incidentes con efectos perturbadores en los servicios esenciales.
LA FIGURA DEL CISO
Los operadores de servicios esenciales tendrán que designar a una persona como responsable de la seguridad de la información para que ejerza las funciones de punto de contacto y coordinación con las autoridades competentes y CSIRT de referencia. Ellos deben de desarrollar las políticas de seguridad de redes y sistemas de información.
Tendrá además que elaborar una declaración de aplicabilidad de las medidas de seguridad, notificar los incidentes a la autoridad competente.
CONCLUSIÓN
Estamos ante una ley crítica en materia de seguridad de infraestructura. Es esencial que se siga trabajando y desarrollando en esta materia para un mundo mejor comunicado y mas seguro, ya que la privacidad, es esencial.
La privacidad juega un papel tan importante en nuestras vidas, que hoy, día 29/01/2021, es el día mundial de la privacidad. Para conseguir privacidad, esta y muchas mas leyes nos amparan de incidentes, junto a organismos como el CCN, Incibe y hasta el propio Ministerio de Defensa.
Efrén Varón (DLTDCode)
