BlogBlog

volver
  • 24
  • Jul.
    2016

Seguridad de Redes y Sistemas Informáticos - La importancia de la futura Directiva NIS

Publicado por Miquel Fortuny en Compliance Digital, Corporate Compliance, Artículos comentar

Recientemente, el Consejo de la Unión Europea ha hecho pública la versión definitiva de la Directiva sobre Seguridad de las Redes y de la Información, también conocida por su siglas en inglés como Directiva NIS (Network and Information Security). 

Dicha norma se erige como la primera normativa comunitaria en esta materia, y nace con la intención clara de respaldar la Estrategia de Ciberseguridad de la Unión Europea vigente, que persigue prevenir y responder a las perturbaciones y ataques que pudieran afectar a los sistemas de telecomunicaciones en Europa.

 

La dependencia a las redes e infraestructuras digitales de la mayor parte de las empresas y de gobiernos de la Unión implica que cualquier incidente relacionado con la seguridad de redes y la información (SRI) tenga como consecuencia un alto impacto en su actividad cotidiana, pues impide o dificulta su normal funcionamiento y la prestación de sus servicios esenciales. Asimismo, el alcance de los incidentes SRI, lejos de ser local, supone un riesgo a nivel global al constituir una amenaza a nivel europeo, que puede afectar a la totalidad de los Estados Miembros.

 

En este contexto, y con la finalidad de disminuir la vulnerabilidad del ciberespacio, nace esta Directiva que fijará niveles comunes de seguridad e impulsará la cooperación entre países, lo que ayudará a evitar acciones contra infraestructuras interconectadas y ayudará a las empresas a protegerse a sí mismas y a prevenir posibles ataques.

 

Una de las primeras medidas de la Directiva es la exigencia de designar una autoridad única de referencia en cada Estado en los primeros seis meses desde su entrada en vigor. Dicho organismo se encargará de hacer cumplir y aplicar la Directiva, quedando patente la necesidad de establecer las bases de la coordinación entre instituciones y entre los países. Asimismo, obliga a los operadores de servicios esenciales a cumplir con determinados requisitos de seguridad de sus redes e información y a informar al órgano competente sobre incidentes graves. A efectos de la normativa se entiende por operadores de servicios esenciales aquellas empresas y entidades que prestan un servicio fundamental para la sociedad y la economía (energía, transporte, agua, banca y mercados financieros, salud), incluyendo las de infraestructura digital, como plataformas de e-commerce, motores de búsqueda o servicios de cloud.

 

Las empresas que cubren estos servicios básicos tendrán que reforzar su capacidad de resistencia a los ataques cibernéticos y diseñar planes de respuesta, así como establecer canales de interlocución continua con los departamentos gubernamentales pertinentes y los organismos encargados de velar por el correcto cumplimiento de la ley. Por su parte, las microempresas y las compañías pequeñas estarán exentas de estas obligaciones.

 

La identificación de los operadores de servicios esenciales corresponderá a los gobiernos nacionales, usando criterios específicos, por ejemplo, si el servicio es fundamental para la sociedad y la economía y si un incidente podría generar perturbaciones en la distribución de ese servicio. En concreto, en España están clasificadas como operadores críticos 93 empresas que representan alrededor de 300 infraestructuras claves.

 

Sin embargo, el texto de la Directiva resulta ambiguo y escueto en dos materias: por un lado, el régimen sancionador en caso de infracción de la norma y, por otro, las condiciones que determinarán en qué medida la autoridad competente debe notificar con carácter público que se ha producido un incidente de ciberseguridad en una empresa.

 

La Directiva afectará a diferentes sectores de forma transversal por lo que debe engranarse con otras normativas europeas ya vigentes, como el recién aprobado Reglamento Europeo de Protección de Datos adaptado a la era digital, y con las diferentes leyes nacionales vinculadas a la seguridad y datos, así como a las propias de cada sector empresarial. En España serían, entre otras, la Ley de Protección de Infraestructuras Críticas (PIC), La Ley de Protección de Datos (LOPD), la Estrategia de Ciberseguridad y leyes específicas de energía, transporte o agua. 

 

La Directiva europea NIS resalta el papel de la colaboración y la coordinación entre los Estados Miembros para conseguir su objetivo de garantizar un alto nivel de ciberseguridad de las infraestructuras críticas del país, y en consecuencia, los Estados Miembros deberán tener en cuenta dichos principios al incorporar la Directiva a sus respectivos ordenamientos internos.

 

En el escenario español, el Centro Tecnológico de Seguridad (CETSE) inaugurado recientemente como referente en Europa, jugará un papel relevante en el marco de aplicación de la Directiva. El Centro coordinará y desarrollará bases de datos, sistemas de información y sistemas de comunicaciones de utilización conjunta por las Fuerzas y Cuerpos de Seguridad y albergará la sede del Centro Nacional para la Protección de las Infraestructuras Críticas (CNPIC), así como la subdirección general de Sistemas de Información y Comunicaciones para la Seguridad (SGSICS). 

 

Finalmente, si bien la Directiva está pendiente de la aprobación del Pleno del Parlamento, lo que se espera suceda previsiblemente en los próximos meses. Una vez aprobada y tras 20 días desde su publicación en el Diario Oficial de la UE, los Estados miembros la incorporarán a sus respectivas legislaciones nacionales en un plazo de 21 meses.

Déjenos su comentario

Nos encantaría conocer su opinión. Por favor, procure que sus comentarios están relacionados con esta entrada. Intente también respetar a los demés lectores de este blog. Los comentarios off-topic, promocionales, ofensivos o ilegales serán editados y borrados.

Enviar comentario
*Campo obligatorio

Nuestras redes sociales

Nuestros Tweets

Lo más leído

  1. 1Nueva ISO-19600 sobre sistemas de gestión del Compliance
  2. 2Responsabilidad Penal de Personas Jurídicas: criterios de imputación
  3. 3Resumen Ejecutivo del nuevo Reglamento Europeo de Protección de Datos
  4. 4Compliance y Delitos contra la Propiedad Intelectual
  5. 5Responsabilidad Penal de Personas Jurídicas: atenuantes actuales y eximentes futuras
  6. 6Circular 1/2016 Fiscalía General del Estado: ética vs. (est)ética
  7. 7Publicación de la Cuarta Directiva de la UE sobre Prevención de Blanqueo de Capitales
  8. 8Ley SAPIN II. Compliance y lucha contra la corrupción
  9. 9Caducidad de la acción y error de consentimiento en los contratos bancarios
  10. 10La nueva insolvencia punible, un riesgo delictivo para las empresas y su responsabilidad penal

Lo más comentado

  1. 2La necesaria protección a los denunciantes de irregularidades
  2. 1Ciberseguridad, tendencias 2018. Retos y amenazas
  3. 1Nueva ISO-19600 sobre sistemas de gestión del Compliance

Categorías

Ver más
Boutique de Compliance

Complia es una auténtica boutique de Compliance, con vocación de servicio para satisfacer las necesidades de nuestros clientes, con el máximo rigor y profesionalidad. Velamos por el cumplimiento normativo y seguridad jurídica de nuestros clientes, el éxito de los cuales es nuestra mayor recompensa.

¡Síganos!

  • C/ Tuset 23-25, 4th Floor
  • 08006 - Barcelona
  • 937 242 294

[...]
Cargando...
Información legal
x

Empresa: FAD Legal Boutique, S.L.P.

NIF: B65851966

Dirección: C/ Tuset 23-25, 4th Floor

Teléfono: 937 242 294

e-mail: info@complia.es

Valid XHTML 1.0 Transitional