El Parlamento Europeo acaba de aprobar la Directiva sobre la Seguridad de las Redes y de la Información —más conocida como Directiva NIS, por sus siglas en inglés—, la cual representa un paso decisivo de la UE para hacer frente al reto que suponen las amenazas de ciberseguridad, cada vez más acuciantes. Tras su publicación en los boletines oficiales, los Estados miembro (EEMM) tienen un plazo de 21 meses para su transposición. Con el objeto de abordar el impacto normativo y operacional de la Directiva en España, FIDE celebró una sesión informativa previa conducida por dos expertos con dilatada experiencia en políticas de seguridad nacional y transfronteriza y en protección de infraestructuras críticas:
Alejandro Sánchez, Senior Director de la práctica de Ciberseguridad y Defensa de FTI Consulting en Bruselas y Enrique Belda, subdirector general de Sistemas de Información y Comunicaciones para la Seguridad en el Ministerio del Interior. En su introducción, Enrique Belda alabó la llegada de esta normativa por su “importancia para transmitir al ciudadano la confianza de que las plataformas digitales están seguras”, máxime en un contexto en el que las amenazas y ataques cibernéticos tienen un componente transfronterizo cada vez mayor, que exige una labor de prevención, protección y ofensiva conjunta de los EEMM mediante actuaciones cohesionadas.
La Directiva dicta que ya en los primeros 6 meses desde su entrada en vigor, los EEMM deben designar la autoridad única de referencia que hará cumplir y aplicar la directiva, “lo que da cuenta del apremio de la UE por establecer las bases de la coordinación entre instituciones y entre los países”, explicó Sánchez. Identificación de operadores con infraestructuras críticas La directiva obliga a los operadores de servicios esenciales a cumplir con determinados requisitos de seguridad de sus redes e información y a informar al órgano competente sobre incidentes graves. En este contexto, los operadores críticos son empresas y entidades que prestan un servicio fundamental para la sociedad y la economía (energía, transporte, agua, banca y mercados financieros, salud), incluyendo las de infraestructura digital, como plataformas de ecommerce, motores de búsqueda o servicios de cloud.
En este sentido, Alejandro Sánchez explicó que la tarea de identificar a estos operadores corresponde a los gobiernos nacionales y que en España están clasificadas como tal 93 empresas, que representan alrededor de 300 infraestructuras críticas. No obstante, puntualizó que si bien para los operadores tradicionales la NIS es una “directiva de mínimos”, para los proveedores de servicios digitales lo es de “máximos, dada su naturaleza transnacional”. Colaboración del sector público y privado Las empresas que cubren servicios básicos tendrán que reforzar su capacidad de resistencia a los ataques cibernéticos y diseñar planes de respuesta, así como establecer canales de interlocución continua con los departamentos gubernamentales pertinentes y los organismos encargados de velar por el correcto cumplimiento de la ley.
Aunque la Directiva NIS establece figuras y procesos comunes a todos los EEMM, Alejandro Sánchez aclaró que ésta “respeta el papel de los gobiernos nacionales y sus instituciones y planes de seguridad, dándoles un amplio margen de maniobra para la transposición. No obstante —advirtió—, hay aspectos sensibles que la Directiva no aclara con suficiencia, por lo que las empresas han de estar atentas a cómo el legislador los codifica”.
Sánchez se refirió de esta forma a dos áreas que resultan ambiguas y escuetas en el texto. Por un lado, el régimen sancionador en caso de infracción de la norma y, por otro, las condiciones que determinarán en qué medida la autoridad competente debe notificar con carácter público que se ha producido un incidente de ciberseguridad en una empresa. “Estos aspectos no pueden estar abiertos a la discrecionalidad del momento dado el impacto reputacional y económico que pueden tener en las empresas”, matizó.
La inquietud del sector privado ante estos asuntos fue manifiesta en el coloquio, si bien los expertos trasladaron un mensaje de consenso. Para Sánchez, “la adaptación a la Directiva NIS es retadora tanto para el sector público como privado y en España existe un buen marco de entendimiento y trabajo entre ambas partes”. Belda apostilló con determinación que “el esqueleto es la Administración Pública, pero el músculo es la empresa”.
No en vano, en el ínterin entre la celebración de esta sesión en FIDE y la publicación de la presente nota, la CE (2) ha firmado un acuerdo de asociación público-privada con los actores e industrias del ámbito de la ciberseguridad, que constituye la primera alianza europea de este tipo para promover la cooperación en la lucha cibernética. Transversalidad Otro gran reto que se puso de relieve en la sesión fue la enorme transversalidad de la NIS, de manera que su transposición debe engranarse con otras normativas europeas, como el recién aprobado Reglamento europeo de Protección de Datos adaptado a la era digital, y con las diferentes leyes nacionales vinculadas a la seguridad y datos, así como a las propias de cada sector empresarial.
En España serían, entre otras, la Ley de Protección de Infraestructuras Críticas (PIC), La Ley de Protección de Datos (LOPD), la Estrategia de Ciberseguridad y leyes específicas de energía, transporte o agua. No obstante, Sánchez aclaró que la NIS no es una directiva de seguridad, sino una directiva que establece los mecanismos para establecer las medidas de seguridad, haciendo hincapié en su misión de armonizar la coordinación y colaboración entre los diferentes agentes a nivel país y entre los EEMM. Los expertos compartieron su visión sobre la buena posición en la que se encuentra nuestro país para responder a la Directiva NIS.
“En los últimos tres años, España ha puesto cimientos [tecnológicos, normativos, operativos] sólidos para que la transposición de la NIS no presente problemas”, afirmó Enrique Belda, que aludió al Centro Tecnológico de Seguridad (CETSE) que el Gobierno inauguró en abril como un referente en Europa, que jugará un papel relevante en el marco de la NIS. El centro coordinará y desarrollará bases de datos, sistemas de información y sistemas de comunicaciones de utilización conjunta por las Fuerzas y Cuerpos de Seguridad y albergará la sede del Centro Nacional para la Protección de las Infraestructuras Críticas (CNPIC), así como la subdirección general de Sistemas de Información y Comunicaciones para la Seguridad (SGSICS). Por su parte, Alejandro Sánchez señaló que los desarrollos que España está llevando a cabo están siendo reconocidos, utilizando como ejemplo que “somos el primer país que tiene el sistema de registro de datos de pasajeros aéreos (PNR) preparado”.