USO DE COOKIES

Utilizamos cookies propias y de terceros para mejorar nuestros servicios y mostrarle publicidad relacionada con sus preferencias mediante el análisis de sus hábitos de navegación. Si continúa navegando, consideramos que acepta su uso. Puede obtener más información, o bien conocer cómo cambiar la configuración, en nuestra Política de cookies

Cargando. Por favor, espere

Comentarios a la Directiva europea so...

Comentarios a la Directiva europea sobre seguridad de las redes y sistemas de información (Directiva NIS)

Miguel RECIO GAYO

Doctorando y Máster en Protección de Datos, Transparencia y Acceso a la Información por la Universidad San Pablo-CEU

Diario La Ley, Nº 9, Sección Ciberderecho, 29 de Agosto de 2017, Editorial Wolters Kluwer

LA LEY 11090/2017

Comentarios
Resumen

El desarrollo próspero del Mercado Digital Único y la Administración electrónica en la Unión Europea requiere de seguridad en las redes y sistemas de información. El hecho de que algunos Estados miembros todavía no tengan las capacidades necesarias llevó a adoptar la Directiva NIS, que tiene que transponerse antes del 9 de mayo de 2018. Ésta impone requisitos de seguridad y notificación de incidentes para operadores de servicios esenciales y proveedores de servicios digitales.

I. Introducción

La ciberseguridad, término que carece de una definición unívoca (1) , es necesaria para «que el ciberespacio siga siendo abierto y libre» (2) . Las constantes amenazas cibernéticas se han incrementado en los últimos años y se han materializado en ciberataques y otros ataques, tales como el ya famoso WannaCry, que afectan a la seguridad de las redes y sistemas de información, pudiendo poner en jaque la libertad necesaria tanto para el ejercicio de derechos fundamentales como para el desarrollo de la Administración electrónica y la economía digital.

Por lo que se refiere en particular al incremento, imparable y constante, de la ciberdelincuencia, el Parlamento Europeo ya ha alertado, en el marco de la revisión de la estrategia europea de ciberseguridad, sobre la necesidad de evaluar la situación «a fin de comprender mejor las tendencias y la evolución de los delitos en el ciberespacio» (3) .

El hecho de que Internet sea «una plataforma para la innovación y nuevas fuentes de crecimiento» (4) motivó que, hace ya algunos años, varios países y, en algunos casos, regiones como la Unión Europea, comenzasen a adoptar sus estrategias de ciberseguridad ya que se trataba entonces y se sigue tratando ahora de una política prioritaria.

El avance tecnológico, del que somos en unos casos espectadores y en otros actores, ha dado lugar también a que, como señala la Organización para la Cooperación y el Desarrollo Económico (OCDE), la economía, la sociedad y los gobiernos giren en torno a Internet (5) .

Y fue precisamente la oportunidad que Internet representa para los Estados miembros de la Unión Europea, ya que en 2013 las estimaciones de la Comisión Europea, citando a su vez un estudio (6) , eran que con el mercado digital europeo «podría aumentar casi 500 000 millones EUR anuales» (7) , lo que llevó a la Comisión Europea a presentar una Comunicación que, poco más de tres años después, daría como resultado la publicación de la Directiva (UE) 2016/1148 (LA LEY 11863/2016) (LA LEY 11863/2016) (8) , en lo sucesivo también o Directiva NIS o la Directiva, que España tiene que transponer antes del próximo 9 de mayo de 2018.

II. Algunos antecedentes de la Directiva NIS

La Directiva NIS es el resultado de la estrategia europea de ciberseguridad que se adoptó en 2013. Además de ser una acción de la Unión Europea consistente en desarrollar e implementar una estrategia de ciberseguridad necesaria para impulsar el Mercado Digital Único, responde también a la ya entonces preocupación de los ciudadanos europeos sobre la materia.

Al respecto, según el eurobarómetro 2012, el 38% de los usuarios europeos de Internet habían cambiado su comportamiento debido a su preocupación por la ciberseguridad, el 18% desconfiaban al comprar productos en línea y el 15% desconfiaba de hacer uso de la banca en línea. Además, un 12% de dichos usuarios había sido víctima del fraude en línea y el 89% evitaba revelar su información personal (9) . Esta situación tiene un impacto negativo en el Mercado Digital Único ya que debilita dramáticamente la confianza de los usuarios y consumidores.

Unido a lo anterior, la Directiva NIS pone de manifiesto las diferencias sustanciales en los niveles de preparación de los Estados miembros, tal y como se destaca en el considerando 5 de la Directiva, que dan lugar a una fragmentación y que muestran un nivel insuficiente de protección, que es crítico para la Unión Europea al existir puntos débiles, así como ser causa de desigualdades para empresas y usuarios. La Directiva también resalta la conveniencia de fomentar una cultura de ciberseguridad, tanto en el sector privado como en el sector público, que se centre en la adopción de medidas para gestionar los riesgos a los que quedan expuestas las redes y sistemas de información.

La fragmentación, debida al diferente nivel de preparación de los Estados miembros, se basaba en un estudio encargado hace años por la Comisión Europea que concluía que entonces había cuatro grupos de países en atención a su nivel de madurez en cuanto a las capacidades que tenían en materia de seguridad de las redes y sistemas de información (10) . Estos cuatros grupos de países eran:

  • Grupo 1 («los campeones»): Dinamarca, Finlandia, Países Bajos, Suecia y Reino Unido;
  • Grupo 2 («los pilares»): Austria, Bélgica, Luxemburgo, Francia, Alemania e Irlanda;
  • Grupo 3 («los subcampeones»): Chipre, República Checa, Hungría, Grecia, Italia, Portugal, Eslovenia y España; y
  • Grupo 4 («los aprendices»): Bulgaria, Estonia, Letonia, Lituania, Malta, Polonia, Rumanía y Eslovaquia.

Como ejemplo de casos que suponen un riesgo, la Comisión Europea mencionaba, en su documento de trabajo relativo a la evaluación de impacto que acompañaba la propuesta de Directiva (11) , el caso Diginotar. Se trataba de una compañía holandesa de certificación que no informó sobre un ciberataque a sus sistemas de información y no revocó los certificados digitales emitidos de manera fraudulenta. Esto dio lugar a que la seguridad de las comunicaciones electrónicas basadas en dichos certificados digitales se viera comprometida. Una investigación posterior concluyó que las prácticas de seguridad de la compañía no eran adecuadas y que era necesario una mejor gestión del riesgo (12) .

Y debido fundamentalmente a esta situación, la Comisión Europea optó por la aproximación regulatoria proponiendo en 2013 una Directiva cuyo principal objetivo era y es que todos los Estados miembros adoptasen medidas para garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión.

De esta manera se busca también ganar mayor peso a nivel internacional, siendo la Unión Europea en su conjunto un socio estratégico para la cooperación tanto bilateral como multilateral en ciberseguridad. Además, como indica la Comisión Europea, la Unión Europea estaría «mejor posicionada para promover los derechos fundamentales y los valores de la Unión Europea más allá de sus fronteras» (13) .

La propuesta de la Comisión avanzó rápidamente en su tramitación hasta ser publicada en el Diario Oficial de la Unión Europea el 19 de julio de 2016. En este sentido, la presidencia Luxemburguesa del Consejo de la Unión Europea alcanzó un acuerdo informal con el Parlamento Europeo (14) el 7 de diciembre de 2015 y el Consejo adoptó formalmente la propuesta en primera lectura el 17 de mayo de 2016.

III. Análisis de aspectos relevantes de la Directiva NIS

a) La aplicación de la Directiva (UE) 2016/1148 (LA LEY 11863/2016) requerirá considerar otras normas por las interrelaciones existentes.

Al analizar la Directiva es necesario tener en consideración que se trata de uno de los instrumentos con los que cuenta la Unión Europea alcanzar sus objetivos como tal y en particular hacer posible el Mercado Digital Único, pero no el único. Es decir, es un instrumento que tiene que aplicarse junto con otros para poder ser efectivos y eficientes por lo que se refiere a la seguridad de las redes y los sistemas de información.

La Directiva NIS es una norma general en la materia que tiene que ser aplicada en interrelación con otras normas consideradas como lex specialis dado que a nivel sectorial se han adoptado ya medidas regulatorias.

Así, sin perjuicio de los ejemplos que se mencionan en los considerandos de la Directiva, en su art. 1.3 se refiere a otras Directivas europeas que imponen, respectivamente, obligaciones en materia de seguridad y notificación a proveedores que suministran redes públicas de comunicaciones o prestan servicios de comunicaciones electrónicas disponibles para el público [arts. 13 bis (LA LEY 4303/2002) y 13 ter de la Directiva 2002/21/CE (LA LEY 4303/2002) (LA LEY 4303/2002)] (15) y a proveedores de servicios de confianza [art. 19 del Reglamento (UE) 910/2014 (LA LEY 13356/2014) (LA LEY 13356/2014) (16) ], de manera que aquélla no será aplicable a las citadas empresas. La obligación de notificación tendrá que aplicarse también considerando que, en materia de protección de datos personales, toda empresa y Administración Pública vendrá obligada también a la misma en virtud de las obligaciones previstas en el Reglamento (UE) 2016/679 (LA LEY 6637/2016) (17) cuando se trate de datos personales.

Lo anterior implica que, en la transposición de la Directiva a nuestro ordenamiento jurídico, además de la Ley 8/2011 (LA LEY 8430/2011), de 28 de abril, por la que se establecen medidas para la protección de las Infraestructuras Críticas, y la Ley 36/2015 (LA LEY 14800/2015) (LA LEY 14800/2015), de 28 de septiembre, de Seguridad Nacional, tengan que tenerse en consideración cualesquiera otra normas que impongan obligaciones de notificación por violaciones de seguridad, afecten o no a datos personales, a la autoridad competente, incluido el derecho de la Unión Europea, de manera que la futura Ley contemple expresamente, entre otros, el caso del Reglamento (UE) 2016/679 (LA LEY 6812/2007) (LA LEY 6637/2016).

También deberán tenerse en consideración cualesquiera derechos y límites aplicables cuando tengan que notificarse incidentes de seguridad, tales como aquella información protegida por el secreto comercial u otras formas de protección. Y, en el caso de que se produzca un tratamiento de datos personales como consecuencia de lo previsto en la Directiva NIS habrá que estar a lo dispuesto en el Reglamento (UE) 2016/679 (LA LEY 6637/2016).

Será también un momento adecuado para revisar que no haya, a nivel nacional, normas o previsiones normativas o regulatorias obsoletas o que puedan resultar contradictorias.

b) La Directiva incluye obligaciones, prevé cooperación institucional y establece requisitos de seguridad y notificación para garantizar el objetivo.

En cuanto a los objetivos de la Directiva, estableciendo un nivel mínimo de seguridad se busca garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión. Y para ello establece obligaciones para diferentes partes involucradas, crea un Grupo de cooperación y una red de equipos de respuesta a incidentes de seguridad (en inglés Computer Security Incident Response Team, CSIRT), y establece requisitos en materia de seguridad y notificación para determinadas entidades y organizaciones, públicas o privadas, ya sean éstas operadores de servicios esenciales o proveedores de servicios digitales.

En cuanto a la armonización que pretende la Directiva, el art. 3 deja claro que se trata de una armonización mínima de manera que los Estados miembros «podrán adoptar o mantener disposiciones con el objeto de alcanzar un mayor nivel de seguridad de las redes y sistemas de información», si bien debe atenderse a que en el caso de las obligaciones en materia de seguridad y notificación de incidentes exigibles a los proveedores de servicios digitales el apartado 10 del art. 16 indica que «los Estados miembros no impondrán nuevos requisitos de seguridad o de notificación a los proveedores de servicios digitales». Por tanto, cuando un Estado miembro quiera adoptar medidas adicionales deberá tener en consideración esta previsión para no imponer más obligaciones a los proveedores de servicios digitales.

c) Definiciones de operadores de servicios esenciales y proveedores de servicios digitales.

La Directiva define qué se entiende tanto por operador de servicios esenciales como proveedor de servicios digitales, siendo dichas definiciones clave para poder saber, en su caso, qué sujetos están obligados a adoptar e implementar las medidas a las que se refiere la Directiva.

El art. 4 de la Directiva, relativo a las definiciones, define en su apartado 4 al operador de servicios esenciales como «una entidad pública o privada de uno de los tipos que figuran en el anexo II, que reúna los criterios establecidos en el artículo 5, apartado 2». Esto implica que haya que atender, por una parte, a los tipos de operadores de servicios esenciales incluidos en el Anexo II de la Directiva, entre los que se encuentran empresas del sector energético, transporte, banca, infraestructuras de mercados financieros, sector sanitario, suministro y distribución de agua potable e infraestructura digital. Y, por otra parte, el artículo 5, apartado 2 indica cuáles son los tres requisitos acumulativos que tienen que concurrir para identificar a un operador de servicios esenciales y que son:

  • a) una entidad presta un servicio esencial para el mantenimiento de actividades sociales o económicas cruciales;
  • b) la prestación de dicho servicio depende de las redes y sistemas de información, y
  • c) un incidente tendría efectos perturbadores significativos en la prestación de dicho servicio.

Y los prestadores de servicios digitales son definidos en el apartado 6 del art. 4 de la Directiva como «toda persona jurídica que preste un servicio digital», siendo aplicable lo dispuesto en la Directiva NIS a «la seguridad de las redes y sistemas de información que se utilizan en el marco de la oferta de servicios en la Unión a que se refiere el anexo III», como indica el art. 16, apartado 1.

d) La Directiva impone requisitos en materia de seguridad y notificación de incidentes para operadores de servicios esenciales o proveedores de servicios digitales.

Según un estudio del Parlamento Europeo (18) se estima que la Directiva NIS tendrá implicaciones para 42.000 organizaciones, sin contar con las Administraciones Públicas. No obstante, se prevén también exclusiones relevantes que dan lugar a la necesidad de considerar, en particular, cuándo un proveedor de servicios digitales queda sujeto y cuándo, en virtud de su tamaño o de los servicios que preste, que pueden ser accesorios, queda excluido.

Con carácter general, los operadores de servicios esenciales o proveedores de servicios digitales sujetos a las obligaciones previstas en la Directiva incluyen tanto organizaciones del sector privado como instituciones y organismos del sector público, pudiendo, no obstante, plantearse algunas dudas en cuanto a si una organización o entidad queda finalmente obligada según los servicios que preste.

Los servicios incluidos en el anexo III son los relativos a mercados en línea, motores de búsqueda en línea y servicios de computación en la nube, debiendo aplicarlos conforme a los considerandos 15 a 17 y a las definiciones proporcionadas en el art. 4 que se refieren, respectivamente, a cada uno de los mismos.

En cuanto a los mercados en línea, el considerando 15 deja claro que son los que «permiten a consumidores y comerciantes celebrar contratos de compraventa o de prestación de servicios en línea con comerciantes, y son el destino final de celebración de tales contratos». Y por si todavía hubiera duda, el considerando explica también que las tiendas en línea que «posibilitan la distribución digital de aplicaciones o programas informáticos de terceros» lo son.

A su vez, el apartado 17 del art. 4 define qué se entiende por mercado en línea y lo hace sobre la base de la definición dada en la Directiva 2013/11/UE (LA LEY 9646/2013) (LA LEY 9646/2013) (19) , de manera que se trata del servicio digital que permite «celebrar contratos de compraventa o de servicios en línea con comerciantes, ya sea en el sitio web del mercado en línea o en un sitio web de un comerciante que utilice servicios informáticos proporcionados por el mercado en línea».

Y quedan excluidos cualesquiera otros que sean intermediarios, ya que únicamente facilitan el contacto con quien sí se puede celebrar el contrato, y los comparadores de precios.

El considerando 16 se refiere a los motores en línea y prevé dos exclusiones relevantes de dicho concepto. Por una parte, quedan excluidas «las funciones de búsqueda que se limiten al contenido de un sitio web en concreto, con independencia de que la función de búsqueda la proporcione un motor de búsqueda externo» y, por otra parte, los comparadores de precios, siguiendo el criterio ya indicado en el considerando previo.

Además, el apartado 18 del art. 4 define a los motores de búsqueda en línea como «un servicio digital que permite a los usuarios hacer búsquedas de, en principio, todos los sitios web o de sitios web en una lengua en concreto mediante una consulta sobre un tema cualquiera en forma de palabra clave, frase u otro tipo de entrada, y que en respuesta muestra enlaces en los que puede encontrarse información relacionada con el contenido solicitado».

Los servicios de computación en la nube, como explica el considerando 17, incluye todos los modelos de servicio (Software como un Servicio —SaaS—, Plataforma como un Servicio —PaaS— e Infraestructura como un Servicio —IaaS—), así como los diferentes modelos de despliegue de nube (pública, privada, comunitaria e híbrida). Por si hubiera alguna duda, dicho considerando define los servicios de computación en nube como «aquellos servicios que permiten acceder a un conjunto modulable y elástico de recursos informáticos que se pueden compartir» y que «incluyen recursos tales como las redes, servidores u otras infraestructuras, sistemas de almacenamiento, aplicaciones y servicios». Además, específica qué se entiende por «modulable», «elástico» y «que se puedan compartir». Se trata, por tanto, de un concepto amplio que abarca multitud de servicios de computación en la nube.

Para determinar si un proveedor de servicios digitales queda o no sujeto a las obligaciones impuestas por la Directiva NIS, se considerará, siguiendo lo previsto en el apartado 1 del art. 18, el criterio del establecimiento principal, de manera que se considerará establecido en el país si «tiene su establecimiento principal en un Estado miembro cuando su domicilio social se encuentre en ese Estado miembro». Es esta una cuestión que tendrá que tratar también la Ley que transponga la Directiva, siendo clara al respecto.

Y si el proveedor de servicios digitales no estuviera establecido en la Unión Europea pero dirigiera sus servicios al territorio de la misma, tendrá que designar a un representante, en virtud de lo dispuesto en el apartado 2 del art. 18, de manera que dicho obligación deberá incluirse también en la ley de transposición de la Directiva. La designación de un representante en un Estado miembro implica también que el «proveedor de servicios digitales se considerará sometido a la jurisdicción del Estado miembro en el que se encuentre establecido su representante».

Sin perjuicio de las exclusiones a las que ya se ha hecho referencia al prestar atención al alcance los conceptos de mercados en línea, motores de búsqueda en línea y servicios de computación en la nube, deben considerarse atenderse también a otras exclusiones relevantes, que son las relativas a:

  • los proveedores que suministran redes públicas de comunicaciones o prestan servicios de comunicaciones electrónicas disponibles para el público y a proveedores de servicios de confianza, por las razones ya indicadas, y.
  • las microempresas y las pequeñas empresas, en virtud del considerando 53 y del apartado 11 del art. 16 de la Directiva (UE) 2016/1148 (LA LEY 11863/2016) (LA LEY 11863/2016), tal y como se definen en la Recomendación 2003/361/CE (LA LEY 5981/2003) de la Comisión, de 6 de mayo de 2003, sobre la definición de microempresas, pequeñas y medianas empresas (DO L 124, de 20 de mayo de 2003).

Lo anterior implica que al transponer la Directiva a nuestro ordenamiento jurídico, el legislador deberá tener especial precaución al listar o establecer el o los requisitos a considerar por lo que se refiere a determinar qué proveedores de servicios digitales quedan incluidos o son excluidos de las obligaciones que se establezcan, más allá de los casos en los que no hay duda alguna en virtud de lo previsto en los considerandos y artículos de aquélla.

Ser identificado como un operador de servicios esenciales o ser un proveedor de servicios digitales implica tener que cumplir, respectivamente, con las obligaciones aplicables en materia de seguridad y la notificación de incidentes.

Las obligaciones previstas en la Directiva deben considerarse, en el caso de los operadores de servicios esenciales, a la vista de lo dispuesto en la Ley 8/2011 (LA LEY 8430/2011), ya mencionada, y, en el caso de los prestadores de servicios digitales, atendiendo a las excepciones aplicables. Los requisitos en materia de seguridad y notificación de incidentes para operadores de servicios esenciales son los indicados en el art. 14 de la Directiva y para los prestadores de servicios esenciales en el art. 16 de la misma.

Con la inclusión de estos requisitos en la Directiva se trata de poder contar con requisitos mínimos comunes que permita crear «un mecanismo global y eficaz de cooperación en la Unión», como se indica en el considerando 5, solventando así las divergencias existentes todavía entre los Estados miembros.

Por último, es necesario tener en consideración que el considerando 58 de la Directiva indica que la misma «no debe impedir que los Estados miembros impongan requisitos de seguridad y notificación a entidades que no sean proveedores de servicios digitales comprendidos en el ámbito de aplicación de la presente Directiva» debiendo tener también en consideración cualesquiera obligaciones exigibles en virtud del Derecho de la Unión. Además, las entidades que no hayan sido identificadas como operadores de servicios esenciales y no entren en el concepto de proveedores de servicios digitales podrán notificar voluntariamente los incidentes que tengan efectos significativos en la continuidad de los servicios que prestan, aunque las autoridades competentes darán prioridad a las notificaciones obligatorias.

e) Efecto perturbador significativo.

La Directiva (UE) 2016/1148 (LA LEY 11863/2016) (LA LEY 11863/2016) no define qué se entiende por «efecto perturbador significativo», si bien se trata de un concepto clave por lo que se refiere a los servicios esenciales ya que es uno de los criterios para identificar al operador de los mismos.

En concreto, al valorar si un incidente que afecta a las redes y sistemas de información tiene un efecto perturbador significativo, como indica el considerando 20 de la Directiva NIS, los Estados miembros «deben tener en cuenta una serie de factores intersectoriales, así como, en su caso, los factores sectoriales pertinentes», haciéndose referencia, respectivamente, a los factores intersectoriales en el considerando 27 y a los factores sectoriales pertinentes en el considerando 28. Y dichos factores son objeto del art. 6.

El apartado 1 del art. 6 incluye la lista de factores intersectoriales, que son los relativos al número de usuarios, explicando el considerando 27 que el uso puede ser tanto para fines profesionales como personales, así como que dicho uso puede ser directo, indirecto o mediante intermediario; la dependencia de otros sectores esenciales; la repercusión que podrían tener los incidentes, en términos de grado y duración, en las actividades económicas y sociales o en la seguridad pública; la cuota de mercado; la extensión geográfica con respecto a la zona que podría verse afectada por un incidente y la importancia de la entidad para mantener un nivel suficiente del servicio, teniendo en cuenta la disponibilidad de alternativas para la prestación de ese servicio.

Y el apartado 2 del art. 6 se refiere a los factores sectoriales sin listar o especificar ninguno, por lo que debe volverse al considerando 28 en el que sí se proporcionan algunos ejemplos, tales como el volumen o la proporción de la energía nacional generada en el caso de los proveedores de energía; el volumen diario cuando se trata de proveedores de petróleo; la proporción del volumen de tráfico nacional y el número de viajeros u operaciones de transporte de mercancías anuales cuando se trata transporte aéreo, incluyendo aeropuertos y compañías aéreas, transporte ferroviario y puertos marítimos, o el número de pacientes atendidos anualmente en el caso de prestadores de servicios sanitarios.

f) Red de equipos de respuesta a incidentes de seguridad informática (CSIRT).

Desde el punto de vista institucional, los CSIRT serán quienes reciban las notificaciones de los incidentes, sin perjuicio de que también lo hagan los puntos de contacto único cuando actúen también como CSIRT o las autoridades competentes.

Cada Estado miembro tiene obligación de designar a uno o varios CSIRT, cuyos requisitos y funciones se incluyen en el anexo I de la Directiva. Los CSIRT deberán disponer, siendo una obligación de los Estados miembros asegurarse de ello, de «recursos adecuados para ejercer eficazmente sus funciones» como establece el apartado 2 del art. 9.

Y los Estados miembros son también los responsables de asegurarse de y garantizar que los CSIRT cooperen de manera eficiente y segura en la red CSIRT, cuya función última es promover una cooperación operativa rápida y eficaz, como indica el apartado 1 del art. 12 de la Directiva.

Este artículo también incluye cuáles son los cometidos o funciones de la red CSIRT, entre los que se incluyen intercambiar información sobre servicios, operaciones y capacidades de cooperación de los CSIRT, intercambiar y proporcionar voluntariamente información no confidencial sobre incidentes concretos o discutir sobre la experiencia adquirida a partir de los ejercicios relativos a la seguridad de las redes y sistemas de información.

Por último, en el caso de nuestro país, el CSIRT (Equipo de Respuesta a Incidentes Cibernéticos) de Seguridad e Industria (CERTSI) (20) , fue constituido en 2012 en virtud de un Acuerdo Marco de Colaboración en materia de Ciberseguridad entre la Secretaría de Estado de Seguridad y la Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información, y actualmente se rige por un Acuerdo de 21 de octubre de 2015.

g) La obligación de los Estados miembros de contar con una estrategia nacional de seguridad de las redes y sistemas de información.

La Directiva NIS establece, en la letra a) del apartado 2 del art. 1, la obligación de los Estados miembros de «adoptar una estrategia nacional de seguridad de las redes y sistemas de información». Al respecto, el apartado 3 del art. 4 define la estrategia nacional de seguridad como «un marco que proporciona prioridades y objetivos estratégicos de seguridad de las redes y sistemas de información a escala nacional».

El contenido mínimo se incluye en el art. 7 la Directiva, de manera que, con carácter general, toda estrategia nacional tiene que establecer «los objetivos estratégicos y las medidas políticas y normativas adecuadas con objeto de alcanzar y mantener un elevado nivel de seguridad de las redes y sistemas de información».

En el caso de España hay que considerar que ya en 2013 se adoptó la Estrategia de Ciberseguridad Nacional que «es el documento estratégico que sirve de fundamento al Gobierno de España para desarrollar las previsiones de la Estrategia de Seguridad Nacional en materia de protección del ciberespacio con el fin de implantar de forma coherente y estructurada acciones de prevención, defensa, detección, respuesta y recuperación frente a las ciberamenazas» (21) . Y también que la dirección y coordinación de las políticas de ciberseguridad a nivel nacional se atribuyó a la Secretaría de Estado de Seguridad del Ministerio del Interior, en virtud del Real Decreto 770/2017, de 28 de julio (LA LEY 12553/2017), por el que se desarrolla la estructura orgánica básica del Ministerio del Interior.

Además, en virtud de esta Directiva NIS, todos los Estados miembros tienen la obligación de comunicar a la Comisión Europea su estrategia nacional de ciberseguridad, pudiendo excluir al hacerlo «los elementos de la estrategia relacionados con la seguridad nacional», en virtud de lo previsto en el apartado 3 del art. 7. Al respecto, la Agencia de Seguridad de las Redes y de la Información de la Unión Europea (en inglés European Union Agency for Network and Information Security, ENISA) mantiene desde 2013 un listado de las estrategias nacionales de ciberseguridad, tanto aprobadas como en fase se adopción por los correspondientes Estados miembros (22) .

h) Necesidad de incluir a las microempresas y pequeñas empresas en las estrategias nacionales de seguridad de las redes y sistemas de información.

El hecho de que las microempresas y pequeñas empresas queden excluidas de ciertas obligaciones no debe significar que queden al margen de medidas como su inclusión en las estrategias nacionales de seguridad de las redes y sistemas de información ya que son también una parte fundamental y no pueden convertirse en el punto débil de la seguridad de las redes y los sistemas de información.

Es decir, si bien imponer ciertas obligaciones a las microempresas y pequeñas empresas podría suponer una carga desproporcionada, no se las puede dejar al margen de las estrategias nacionales de seguridad, especialmente cuando uno de los objetivos de la Directiva NIS es fomentar una cultura de gestión de riesgo que tiene que llegar también a las mismas, ya sea porque prestan servicios digitales a otras empresas o a las Administraciones Públicas o ya sea porque de esta manera estarán en mejor posición de poder tomar decisiones informadas cuando se trata de contratar o hacer uso a su vez de servicios digitales que les proporcionen los proveedores de servicios digitales.

i) Sanciones.

Entre sus disposiciones finales, la Directiva incluye también un artículo relativo a la imposición de sanciones. En concreto el art. 21 indica que los Estados miembros establecerán el régimen de sanciones aplicables en caso de incumplimiento de las disposiciones que transpongan a nivel nacional la Directiva.

Las sanciones tendrán que ser «efectivas, proporcionadas y disuasorias», lo que supone que el legislador nacional tendrá que establecer el correspondiente régimen sancionador y planteándose, una vez más, la cuestión relativa a la exigencia de responsabilidad en el caso de las Administraciones Públicas, ya que no habría sanciones económicas al igual que ocurre en otros casos.

IV. Transposición de la Directiva NIS al ordenamiento jurídico español

El proceso para la transposición de la Directiva (UE) 2016/1148 (LA LEY 11863/2016) (LA LEY 11863/2016) a nuestro ordenamiento jurídico comenzó en diciembre de 2016 cuando el Ministerio de Energía, Turismo y Agenda Digital realizó una consulta pública (23) , que duró hasta el 21 de diciembre, con la finalidad de recibir contribuciones a tener en consideración de cara a la elaboración del correspondiente Anteproyecto de Ley.

De esta manera, se sustanciaba el requisito de consulta pública previsto en el art. 26.2 de la Ley 50/1997, de 27 de noviembre (LA LEY 4058/1997) (LA LEY 4058/1997), del gobierno, con la finalidad de recibir comentarios por los interesados.

En cuanto a cuándo se presentaría el Proyecto de Ley correspondiente para su tramitación parlamentaria, respondiendo a una pregunta por escrito de un grupo parlamentario en el Congreso de los Diputados, el pasado 2 de marzo de 2017 el Gobierno indicaba que «conforme a lo recogido en el Plan de Mejora de la Transposición de Directivas de la Unión Europea, adoptado por el Consejo de Ministros, el Ministerio de Energía, Turismo y Agenda Digital elaboró ese mismo mes de septiembre una propuesta de calendario de transposición, que prevé el inicio de la tramitación parlamentaria de la Ley de transposición en la segunda mitad de 2017, para su aprobación, sanción y publicación antes del 9 de mayo de 2018» (24) .

La Ley que transponga la Directiva deberá tener también en consideración que ésta incluye una cláusula de revisión (art. 23), en virtud de la que la Comisión Europea «revisará periódicamente el funcionamiento de la presente Directiva e informará al Parlamento Europeo y al Consejo». Debe tratarse, por tanto, de una Ley que considere la necesidad de una cooperación estratégica y operativa que incrementará constantemente para poder estar preparados ante riesgos que evolucionan rápidamente y que cada vez suponen un reto mayor dadas las implicaciones que pueden tener cuando se causa un efecto perturbador significativo en la seguridad de las redes y sistemas de información.

Por último, es necesario tener en consideración que, además de las fechas fijadas en el art. 25.1 de la Directiva NIS tanto para su transposición, a más tardar el 9 de mayo de 2018, como para la aplicación de las medidas adoptadas, el 10 de mayo de 2018, España, al igual que los demás Estados miembros, tendrá que identificar a los operadores de servicios esenciales «a más tardar el 9 de noviembre de 2018», en virtud de la obligación prevista en el art. 5.1 de la citada Directiva. Se trata, por tanto, de tres fechas relevantes, sin perjuicio de otras como la relativa a que desde el 9 de febrero de 2017 el Grupo de cooperación y la red CSIRT tienen que ejercer las funciones previstas, respectivamente, en los arts. 11.3 y 12.3 de la Directiva.

(1)

European Union Agency for Network and Information Security (2015). «Definition of cybersecurity, Gaps and overlaps in standardization v1.0». Consultado (en inglés) en https://www.enisa.europa.eu/publications/definition-of-cybersecurity/at_download/fullReport

Ver Texto
(2)

Comisión Europea y Alta Representante de la Unión Europea para Asuntos Exteriores y Política de Seguridad (2013). «Comunicación conjunta al Parlamento Europeo, al Consejo, al Comité Económico y Social Europeo y al Comité de las Regiones, Estrategia de ciberseguridad de la Unión Europea: Un ciberespacio abierto, protegido y seguro», JOIN(2013) 1 final, Bruselas, 7 de febrero de 2013, pág. 2. Consultado en http://eur-lex.europa.eu/legal-content/ES/TXT/PDF/?uri=CELEX:52013JC0001&qid=1503071795373&from=ES

Ver Texto
(3)

Parlamento Europeo, «Proyecto de Informe sobre la lucha contra la ciberdelincuencia [2017/2068(INI)]», Comisión de Libertades Civiles, Justicia y Asuntos de Interior, 7 de mayo de 2017, pág. 7. Consultado en http://www.europarl.europa.eu/meetdocs/2014_2019/plmrep/COMMITTEES/LIBE/PR/2017/07-10/1125764ES.pdf

Ver Texto
(4)

Organisation for Economic Co-operation and Development (2012). «Cybersecurity Policy Making at a Turning Point: Analysing a New Generation of National Cybersecurity Strategies for the Internet Economy», pág. 9. Consultado (en inglés) en http://eur-lex.europa.eu/legal-content/ES/TXT/PDF/?uri=CELEX:52013JC0001&qid=1503071795373&from=ES

Ver Texto
(5)

Ibid., pág. 9.

Ver Texto
(6)

European Policy Centre (2010). «The Economic Impact of a European Digital Single Market, Final Report», March 2010. Consultado (en inglés) en http://www.epc.eu/dsm/2/Study_by_Copenhagen.pdf

Ver Texto
(7)

«Comunicación conjunta al Parlamento Europeo, al Consejo, al Comité Económico y Social Europeo y al Comité de las Regiones, Estrategia de ciberseguridad de la Unión Europea: Un ciberespacio abierto, protegido y seguro», cit., pág. 2.

Ver Texto
(8)

Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016 (LA LEY 11863/2016), relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión, DO L 194, de 19 de julio de 2016.

Ver Texto
(9)

European Commission (2012). «Special Eurobarometer 390, Cyber Security Report». Consultado (en inglés) en http://ec.europa.eu/commfrontoffice/publicopinion/archives/ebs/ebs_390_en.pdf

Ver Texto
(10)

IDC EMEA (2009). «The European Network and Information Security Market, Scenario, trends and challenges: final study report», pág. 23: https://publications.europa.eu/es/publication-detail/-/publication/63a2eca4-c1de-4e2e-b9da-17c8296fc63b/language-en

Ver Texto
(11)

Comisión Europea (2013). «Commission Staff Working Document Impact Assessment Accompanying the document Proposal for a Directive of the European Parliament and of the Council Concerning measures to ensure a high level of network and information security across the Union, SWD(2013) 32 final», Estrasburgo, 7 de febrero de 2013. Consultado (en inglés) en http://ec.europa.eu/newsroom/dae/document.cfm?doc_id=1669

Ver Texto
(12)

Ibid., pág. 13.

Ver Texto
(13)

Ibid., pág. 56.

Ver Texto
(14)

Véase la nota de prensa del Consejo First EU-wide rules to improve cybersecurity: deal with EP: http://www.consilium.europa.eu/en/press/press-releases/2015/12/08-improve-cybersecurity/

Ver Texto
(15)

Directiva 2002/21/CE del Parlamento Europeo y del Consejo, de 7 de marzo de 2002 (LA LEY 4303/2002), relativa a un marco regulador común de las redes y los servicios de comunicaciones electrónicas (Directiva marco), DO L 108, de 24 de abril de 2002. Modificada por la Directiva 2009/140/CE del Parlamento Europeo y del Consejo, de 25 de noviembre de 2009 (LA LEY 22503/2009), por la que se modifican la Directiva 2002/21/CE (LA LEY 4303/2002) relativa a un marco regulador común de las redes y los servicios de comunicaciones electrónicas, la Directiva 2002/19/CE (LA LEY 4284/2002) relativa al acceso a las redes de comunicaciones electrónicas y recursos asociados, y a su interconexión, y la Directiva 2002/20/CE (LA LEY 4304/2002) relativa a la autorización de redes y servicios de comunicaciones electrónicas, DO L 337, de 18 de diciembre de 2009.

Ver Texto
(16)

Reglamento (UE) n.o 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio (LA LEY 13356/2014) de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por la que se deroga la Directiva 1999/93/CE (LA LEY 10272/1999), DO L 257, de 28 de agosto de 2014.

Ver Texto
(17)

Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (LA LEY 6637/2016), relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (LA LEY 5793/1995) (Reglamento general de protección de datos), DO L 119, de 4 de mayo de 2016.

Ver Texto
(18)

Parlamento Europeo (2013). «Data and Security Breaches and Cyber-Security Strategies in the EU and its International Counterparts», pág. 100: http://www.europarl.europa.eu/RegData/etudes/note/join/2013/507476/IPOL-ITRE_NT(2013)507476_EN.pdf

Ver Texto
(19)

Directiva 2013/11 (LA LEY 9646/2013)/UE del Parlamento Europeo y del Consejo, de 21 de mayo de 2013, relativa a la resolución alternativa de litigios en materia de consumo y por la que se modifica el Reglamento (CE) n.o 2006/2004 y la Directiva 2009/22/CE (LA LEY 7639/2009) (Directiva sobre resolución alternativa de litigios en materia de consumo).

Ver Texto
(20)

Véase https://www.certsi.es/

Ver Texto
(21)

Presidencia del Gobierno, «Estrategia de Ciberseguridad Nacional», 2013, pág. 3. Consultada en http://www.dsn.gob.es/es/estrategias-publicaciones/estrategias/estrategia-ciberseguridad-nacional

Ver Texto
(22)

European Union Agency for Network and Information Security (2013), «National Cyber Security Strategies (NCSSs) Map». Consultado en https://www.enisa.europa.eu/topics/national-cyber-security-strategies/ncss-map

Ver Texto
(23)

Consultado en http://www.minetad.gob.es/telecomunicaciones/es-ES/Participacion/Documents/consulta-previa-def.pdf

Ver Texto
(24)

Véase la pregunta parlamentaria en http://www.congreso.es/l12p/e3/e_0033772_n_000.pdf

Ver Texto
Queremos saber tu opiniónNombreE-mail (no será publicado)ComentarioWolters Kluwer no se hace responsable de las opiniones vertidas en los comentarios. Los comentarios en esta página están moderados, no aparecerán inmediatamente en la página al ser enviados. Evita, por favor, las descalificaciones personales, los comentarios maleducados, los ataques directos o ridiculizaciones personales, o los calificativos insultantes de cualquier tipo, sean dirigidos al autor de la página o a cualquier otro comentarista.
Introduce el código que aparece en la imagencaptcha
Enviar

Últimos tweets

NÚMEROS DISPONIBLES

Scroll