Continuando con las medidas encaminadas a garantizar la ciberseguridad comunitaria, y también la de alcance global, la Unión Europea ha adoptado la conocida como Directiva NIS* por la que se trata de lograr un alto nivel común de seguridad de las redes y sistemas de información dentro de la Unión con el fin de mejorar el funcionamiento del mercado interior.

Después de la presentación, en febrero de 2013, de la Estrategia de Ciberseguridad de la Unión Europea (ver el artículo: Ciberseguridad; la visión de la Unión Europea) y la reciente entrada en vigor del reglamento GDPR (comentado en este enlace) relativo a la protección de datos en el ámbito comunitario, el pasado 6 de julio se completó el paquete de medidas con la adopción de esta iniciativa titulada “Directiva del Parlamento Europeo y del Consejo relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información de la Unión” la cual entrará en vigor el próximo 9 de agosto, veinte días después de su publicación en el diario oficial (19 de julio de 2017).

El camino seguido desde que el 2013 se presentó la propuesta hasta la toma de decisión sobre su adopción no ha sido fácil, ante las múltiples dudas planteadas (como por ejemplo las que expuse en el artículo: Ciberseguridad en la Unión Europea; Directiva de seguridad de las redes y de la información (SRI)). En este tiempo se han debido superar diferentes obstáculos, principalmente políticos, que retrasaron el consenso por mas de tres años, como sintetizo en la infografía adjunta donde puede observarse la cronología desde su propuesta en 2013 hasta mayo de 2018 fecha en que deberá haber finalizado su transposición a las legislaciones de los Estados miembro.

Entre las razones expuestas en la NIS para llegar a esta decisión de adopción de la Directiva se argumenta la falta de capacidad actual para alcanzar un alto grado de seguridad de las redes y sistemas de información comunitarios, dado que los niveles de preparación de los Estados miembro difieren entre unos y otros dando lugar a planteamientos fragmentados.

A juicio de lo expuesto en la NIS, tal situación genera niveles desiguales de protección de los consumidores y las empresas, comprometiendo el nivel general de seguridad de las redes y sistemas de información de la Unión. Insiste en este aspecto la Directiva añadiendo que la inexistencia de requisitos comunes aplicables a los operadores de servicios esenciales y los proveedores de servicios digitales imposibilita la creación de un mecanismo global y eficaz de cooperación en la Unión.

De esta forma, ya desde los considerandos de la Directiva aparecen dos figuras de importancia en su aplicación: los operadores de servicios esenciales, definidos como una entidad pública o privada que presta un servicio esencial para el mantenimiento de actividades sociales o económicas cruciales, cuya prestación depende de las redes y sistemas de información y donde un incidente tendría efectos perturbadores significativos en la prestación de dicho servicio, y el proveedor de servicios digitales, que es toda persona jurídica que preste un servicio digital;

Como comentaba en mi post de 28 de mayo (GDPR; el nuevo reglamento de protección de datos de la Unión Europeacon respecto al mencionado reglamento GDPR, en la Unión Europea las directivas no son legalmente vinculantes, pues se consideran como recomendaciones para alcanzar un objetivo,que cada Estado miembro debe transponer por medio de normativas y leyes que permitan alcanzarlo.

Para ello, como se recoge en la NIS, todos los Estados miembros deberán cumplir una serie de requisitos mínimos comunes por lo cual debe aplicarse sin perjuicio de las acciones emprendidas por ellos para salvaguardar sus funciones estatales nacionales, como por ejemplo la Seguridad y Defensa.

Estos requisitos comunes mínimos que establece la Directiva podemos sintetizarlos clasificándolos en los siguientes grupos:

  • Definición y comunicación de una estrategia y marco de gobierno de la ciberseguridad nacional:

Cada Estado miembro debe desarrollar y comunicar a la Comisión Europea una Estrategia nacional de seguridad de las redes y sistemas de información. Asimismo debe definir un marco de gobierno y los objetivos y la legislación apropiada con el fin de lograr un alto nivel de seguridad nacional coordinando con las estructuras europeas.

En este sentido cada país debe designar una o varias autoridades competentes responsables de la transposición de la Directiva y con facultades para adoptar directrices nacionales sobre las circunstancias en las que los operadores de servicios esenciales y los proveedores de servicios digitales deben notificar incidentes. 

Del mismo modo debe designarse uno o varios Equipos de respuesta a incidentes, los conocidos como CSIRT (Computer Security Incident Response Team), responsables de la alerta y gestión de los incidentes nacionales, y un punto de contacto nacional único encargado de participar en la cooperación comunitaria transfronteriza en cuestiones relativas a la Directiva.

  • Requisitos de seguridad, identificación de operadores y comunicación de incidentes.

Los Estados miembro deberán identificar antes del 9 de noviembre de 2018 los operadores de servicios esenciales establecidos en su territorio y comunicarlo a la Comisión Europea.

Los operadores identificados deberán:

• tomar medidas técnicas y organizativas apropiadas y proporcionadas para gestionar los riesgos que plantea la seguridad de las redes y los sistemas de información que utilizan para ofertar sus servicios;

• tomar las medidas adecuadas para prevenir y minimizar el impacto de los incidentes que afecten a la seguridad de las redes y los sistemas de información utilizados para la prestación de los servicios esenciales, con el fin de garantizar la continuidad de ños mismos.

Estos operadores, así como los proveedores de servicios digitales tienen también la obligación de comunicar inmediatamente a la autoridad competente o a los CSIRT nacionales aquellos incidentes de ciberseguridad que tengan efectos significativos, es decir, aquellos que afecten a la continuidad de los servicios esenciales que prestan

  • Cooperación internacional

Con objeto de asegurar la ccooperación entre las administraciones publicas europeas y nacionales con los actores privados y facilitar el comercio transfronterizo la Directiva demanda la creación de una red de CSIRT por medio de la cual los Estados miembro intercambiarán información sobre servicios, operaciones y capacidades de cooperación, así como la de un Grupo de cooperación estratégica, integrado por representantes de los países miembro, de la Comisión Europea y de la Agencia de Seguridad de las Redes y de la Información de la Unión Europea (ENISA), el cual apoyará y facilitará la cooperación estratégica, el intercambio de información y buenas prácticas y evaluará las capacidades y el grado de preparación de los Estados miembro en lo que se refiere a la aplicación de la Directiva.

Para asegurar el cumplimiento de lo expuesto en la NIS se determina que cada Estado miembro establecerá un régimen de sanciones aplicables en caso de incumplimiento de las disposiciones nacionales aprobadas y que asimismo adoptará todas las medidas necesarias para garantizar su aplicación.

Tal regimen, y sus medidas, se deberán comunicar a la Comisión Europea, así como toda modificación que realice sobre las mismas.

Con objeto de proporcionar a los diferentes Estados de la Unión Europea tiempo suficiente para que puedan adoptar las disposiciones legales, reglamentarias y administrativas necesarias para dar cumplimiento a lo establecido en la Directiva se establece un periodo de transposición de 21 meses, que finalizará el 9 de mayo de 2018.

La adopción por todos los Estados miembro de la Directiva NIS supondrá un paso importante en el refuerzo de las capacidades de ciberseguridad de la Unión, al instaurar, junto con la Estrategia de Ciberseguridad de la Unión Europea, un conjunto armónico de colaboración reforzada entre los sectores críticos, paises e instituciones europeas que supondrá asimismo un importante avance a nivel global en la seguridad del ciberespacio.

Finalizo este artículo formulando una pregunta similar a la que planteé al exponer el Reglamento GDPR hace unas semanas.

¿Será suficiente este período de transposición?

* Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión