La norma se aplicará a las entidades que prestan servicios esenciales y dependan de redes y sistemas de información
El Consejo de Ministros aprobó ayer un Real Decreto-Ley (RD-L) por el que se traspone la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, sobre medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión Europea -conocida también como directiva de ciberseguridad (NIS)-.
La Comisión Europea había anunciado antes del verano el envío de una carta de emplazamiento a España para que transpusiese plenamente la Directiva, puesto que se había incumplido el plazo máximo para ello, estipulado para el 9 de mayo de 2018. Ahora tiene un plazo para su transposición que concluye el próximo 9 de noviembre.
El objetivo de la norma comunitaria es el logro, de manera uniforme, de un elevado nivel de seguridad de las redes y los sistemas de información en toda la UE, mediante el desarrollo de las capacidades nacionales en materia de ciberseguridad, aumentando la cooperación y las obligaciones de notificación de incidentes de los operadores de servicios esenciales y de los proveedores de servicios digitales.
El RD-L se aplicará, por tanto, a las entidades que presten servicios esenciales para la comunidad y dependan de las redes y sistemas de información para el desarrollo de su actividad. Su ámbito de aplicación se extiende a servicios tanto excluidos como no expresamente incluidos en la Directiva, para darle a esta norma -que deberá ser convalidad por el Congreso de los Diputados antes de 30 días- un enfoque global, aunque se preserva su legislación específica.
La norma se aplicará, asimismo, a los proveedores de determinados servicios digitales. La Directiva los somete a un régimen de armonización máxima, equivalente a un reglamento, pues se considera que su regulación a escala nacional no sería efectiva por tener un carácter intrínsecamente transnacional. La función de las autoridades nacionales se limita por tanto, a supervisar su aplicación por los proveedores establecidos en su país, y coordinarse con las autoridades correspondientes de otros países de la UE.
Siguiendo la Directiva, se identifican los sectores en los que es necesario garantizar la protección de las redes y sistemas de información, y establece procedimientos para identificar los servicios esenciales ofrecidos en dichos sectores así como a los principales operadores que prestan dichos servicios.
Gestión de riesgos
Los operadores de servicios esenciales y los proveedores de servicios digitales deberán adoptar medidas adecuadas para gestionar los riesgos que se planteen para la seguridad de las redes y sistemas de información que utilicen, aunque su gestión esté externalizada.
Las obligaciones de seguridad que asuman deberán ser proporcionadas al nivel de riesgo que afronten y estar basadas en una evaluación previa de los mismos. Las normas de desarrollo podrán concretar las obligaciones de seguridad exigibles a los operadores de servicios esenciales, incluyendo en su caso las inspecciones a realizar o la participación en actividades y ejercicios de gestión de crisis.
El RD-L requiere a los operadores de servicios esenciales y los proveedores de servicios digitales que notifiquen los incidentes significativos que sufran en las redes y servicios de información que emplean para la prestación de los servicios esenciales y digitales. La norma protege a la entidad notificante y al personal que informe sobre incidentes ocurridos, se reserva la información confidencial de su divulgación al público o a otras autoridades.