iSecurify

Internet, Security & Forensics

Directiva NIS

by Leave a Comment

Como comentaba en un post anterior, en el evento “La Voz de la Industria” organizado por el CCI en Barcelona, analizamos -entre otros temas- los principales aspectos de la Directiva de Seguridad de Redes y Sistemas de Información, conocida como Directiva NIS.

La Estrategia Europea de Ciberseguridad y la Directiva NIS

En febrero de 2013, la Comisión Europea presentó la Estrategia Europea de Ciberseguridad, uno de cuyos objetivos era el de disponer de una Directiva de ciberseguridad.  Esta Directiva llegó tres años más tarde, en verano de 2016, aunque -como Directiva- necesitará de la transposición a la legislación de cada uno de los Estados miembros para lo cual no entrará en vigor hasta 2018.

La Comisión ya había alertado que existían diferencias en cuanto a las obligaciones por parte de los proveedores de infraestructuras críticas según el país de la UE en que operaran (diferencias en lo que se refiere a: medidas de seguridad a adoptar, gestión del riesgo o comunicación de ciberincidentes) y ese es parte del origen de la Directiva NIS, imponer un enfoque común en la seguridad de las redes y de la información.

Por ello, la Directiva impone una serie de obligaciones a los Estados miembros, principalmente:

  • Adoptar una Estrategia Nacional de Ciberseguridad enfocada en la seguridad de las infraestructuras críticas, las administraciones públicas, la lucha contra el ciberterrorismo y la ciberdelincuencia, etc.
  • Identificar a los Operadores de Servicios Esenciales.
  • Designar una autoridad nacional competente y un punto único de contacto para supervisar la aplicación de la Directiva.
  • Designar un Equipo de Respuesta a Incidentes (CSIRT) que responderá a los incidentes y se coordinará con los de otros Estados a traves de ENISA.

A quién afecta la Directiva

Esta Directiva afecta, en primer lugar, a los llamados Operadores de Servicios Esenciales (OSE).  La Directiva establece que cada Estado miembro debe enumerar todos los Operadores de Servicios Esenciales de ese país, ¿y que criterios se establecen para determinar a esos operadores?:

  • que presten un servicio esencial para el mantenimiento de actividades económicas o sociales,
  • que dependan de las redes de información para prestar ese servicio, y
  • que originarían “efectos perturbadores significativos” en caso de ser víctimas de un ciberincidente.

Además la Directiva acota los sectores de actividad en lo siguientes: Energía, Transporte, Banca, Infraestructuras de mercados financieros, Sector sanitario, Suministro y distribución de agua potable, Infraestructura digital.  Y, aquí sí, para cada uno de ellos detalla los subsectores o características de la actividad para ser considerados OSE.

[Read more…]

Protegiendo el Negocio frente al Cumplimiento Legal

by Leave a Comment

En septiembre de 2016,  el CCI (Centro de Ciberseguridad Industrial) celebró en Barcelona uno de sus eventos periódicos “La Voz de la Industria” donde pudimos examinar los beneficios de la Ciberseguridad Industrial con una nueva perspectiva para la alta dirección.

Tuve la ocasión de presentar una ponencia sobre como afrontar el cumplimiento legal de las diferentes normas y cuáles son esas normativas que afectan a las industrias.  El propio CCI publicó en 2015 el documento “Mapa normativo de la ciberseguridad industrial en España” que permite identificar claramente la regulación existente en materia de ciberseguridad industrial, no sólo en cuanto a legislación española, si no también teniendo en cuenta las directivas europeas, marcos de referencia, normativa sectorial, etc. y todo ello junto con un breve análisis de cada una de las normas citadas.

Tras la publicación del documento del CCI han aparecido nuevas normas a tener muy en cuenta, como la “Directiva de protección de secretos comerciales“, el marco “Privacy Shield” para la transferencia de datos personales entre Europa y Estados Unidos, o el esperado Reglamento General de Protección de Datos de la UE, que sustituye a la Directiva 95/46 y que armoniza el tratamiento de datos personales en todos los países de la UE.

Otra de las grandes novedades legislativas de 2016 ha sido la publicación, en el mes de julio, de la Directiva Europea de ciberseguridad, conocida como Directiva NIS, que viene a imponer un enfoque común en la seguridad de las redes y de la información para todos los Estados miembros.  Buena parte de la ponencia la dediqué a exponer los aspectos más importantes de la Directiva, desde el punto de vista de las empresas industriales, los cuales expondré en el siguiente post.  Mientras, aquí les dejo el enlace de la presentación: Protegiendo el negocio frente al Cumplimiento Legal

iSecurify | Internet, Security & Forensics

Servicios profesionales de ciberseguridad y protección de la información.

Peritaje informático y tecnológico.

Joan Figueras Tugas

Certificado CISA, CISM (ISACA)
Perito Judicial #110 (ACPJT)