Como comentaba en un post anterior, en el evento “La Voz de la Industria” organizado por el CCI en Barcelona, analizamos -entre otros temas- los principales aspectos de la Directiva de Seguridad de Redes y Sistemas de Información, conocida como Directiva NIS.
La Estrategia Europea de Ciberseguridad y la Directiva NIS
En febrero de 2013, la Comisión Europea presentó la Estrategia Europea de Ciberseguridad, uno de cuyos objetivos era el de disponer de una Directiva de ciberseguridad. Esta Directiva llegó tres años más tarde, en verano de 2016, aunque -como Directiva- necesitará de la transposición a la legislación de cada uno de los Estados miembros para lo cual no entrará en vigor hasta 2018.
La Comisión ya había alertado que existían diferencias en cuanto a las obligaciones por parte de los proveedores de infraestructuras críticas según el país de la UE en que operaran (diferencias en lo que se refiere a: medidas de seguridad a adoptar, gestión del riesgo o comunicación de ciberincidentes) y ese es parte del origen de la Directiva NIS, imponer un enfoque común en la seguridad de las redes y de la información.
Por ello, la Directiva impone una serie de obligaciones a los Estados miembros, principalmente:
- Adoptar una Estrategia Nacional de Ciberseguridad enfocada en la seguridad de las infraestructuras críticas, las administraciones públicas, la lucha contra el ciberterrorismo y la ciberdelincuencia, etc.
- Identificar a los Operadores de Servicios Esenciales.
- Designar una autoridad nacional competente y un punto único de contacto para supervisar la aplicación de la Directiva.
- Designar un Equipo de Respuesta a Incidentes (CSIRT) que responderá a los incidentes y se coordinará con los de otros Estados a traves de ENISA.
A quién afecta la Directiva
Esta Directiva afecta, en primer lugar, a los llamados Operadores de Servicios Esenciales (OSE). La Directiva establece que cada Estado miembro debe enumerar todos los Operadores de Servicios Esenciales de ese país, ¿y que criterios se establecen para determinar a esos operadores?:
- que presten un servicio esencial para el mantenimiento de actividades económicas o sociales,
- que dependan de las redes de información para prestar ese servicio, y
- que originarían “efectos perturbadores significativos” en caso de ser víctimas de un ciberincidente.
Además la Directiva acota los sectores de actividad en lo siguientes: Energía, Transporte, Banca, Infraestructuras de mercados financieros, Sector sanitario, Suministro y distribución de agua potable, Infraestructura digital. Y, aquí sí, para cada uno de ellos detalla los subsectores o características de la actividad para ser considerados OSE.