""

Blog

Se aprueba el Real Decreto de transposición de la Directiva NIS (Network and Information Systems)

Derecho de Internet

Se aprueba el Real Decreto de transposición de la Directiva NIS (Network and Information Systems)

En los últimos años, y a medida que se han ido desarrollando cada vez más las tecnologías, los ataques a sistemas informáticos se han vuelto cada vez más frecuentes. La Unión Europea siempre ha buscado mejorar la seguridad en las redes y en los medios de información dentro de su territorio, debido al carácter transnacional de las operaciones, y a las terribles consecuencias que pueden ocasionar los incidentes de seguridad en este tipo operaciones.

DIRECTIVA NIS

El pasado 9 de agosto de 2016, entró en vigor la Directiva 2016/1148, de 6 de julio de 2016, del Parlamento Europeo y del Consejo, más conocida como “Directiva NIS”, la cual complementa la Estrategia de Ciberseguridad de la Unión Europea, aprobada en febrero de 2013, y cuya trasposición debían tener completa los Estados miembros el 9 de mayo de este año.


Aplicación

La Directiva se aplica a las empresas que presten servicios esenciales para la comunidad y que dependan de las redes y sistemas de información para el desarrollo de su actividad.


Objetivo principal

El objetivo principal de la presente Directiva es el de lograr un elevado nivel común de ciberseguridad en la Unión, así como proteger determinados sectores estratégicos que dependen en gran medida de las tecnologías de la información, estableciendo para ello una serie de medidas con objeto de mejorar el funcionamiento del mercado interior.

Desde el punto de vista del Texto que nos ocupa, y en orden a obtener la consecución de este objetivo, se precisa una mayor cooperación entre los Estados Miembros de la Unión, que refuerce y desarrolle la confianza y la seguridad entre ellos, facilitando así el intercambio de información.

La Directiva propone la creación de un Grupo de Cooperación que sirva de apoyo y facilite dicha cooperación estratégica, así como de una red de equipos que den respuesta a incidentes de seguridad informática (CSIRT), de cara a contribuir al aumento de la confianza y la seguridad entre los Estados.

Por otra parte, también establece obligaciones para los Estados Miembros, los cuales deben adoptar una estrategia nacional de seguridad en las redes y sistemas de información, y designar autoridades nacionales competentes, puntos de contacto únicos y CSIRT que tengan funciones relacionadas con dicha seguridad.

REAL DECRETO DE SEGURIDAD DE LAS REDES Y SISTEMAS DE INFORMACIÓN

En el ámbito nacional, el Gobierno el pasado mes de Septiembre aprobó el Real Decreto-ley 12/2018 (RDL 12/2018), de fecha 7 de Septiembre, para la trasposición de la Directiva NIS, quedando a la espera de su posterior convalidación en el Congreso de los Diputados en el plazo máximo de 30 días hábiles.


Ámbito aplicación material

Este RD se aplica a las empresas siguientes;

1. Los servicios esenciales dependientes de las redes y sistemas de información de los sectores:

Sector Ministerio/ Organismo del sistema
Administración Ministerio Presidencia
Ministerio de Interior
Ministerio de Defensa
Centro Nacional de Inteligencia
Ministerio Política Territorial y Administración Pública
Espacio Ministerio de Defensa
Industria nuclear Ministerio Industria, Turismo y Comercio
Consejo de Seguridad Nuclear
Industria química Ministerio Interior
Instalaciones de investigación Ministerio Ciencia e Innovación
Ministerio Medio Ambiente, y Medio Rural y Marino
Agua Ministerio Medio Ambiente, y Medio Rural y Marino
Energía Ministerio Industria, Turismo y Comercio
Ministerio Ciencia e Innovación
Tecnologías de la Información y las Comunicaciones (TIC) Ministerio Industria, Turismo y Comercio
Ministerio Defensa
Centro Nacional de Inteligencia
Ministerio Ciencia e Innovación
Ministerio Política Territorial y Administración Pública
Transporte Ministerio Fomento
Alimentación Ministerio Medio Ambiente, y Medio Rural y Marino
Ministerio Sanidad, Política Social e Igualdad
Ministerio Industria, Turismo y Comercio
Sistema financiero y tributario Ministerio Economía y Hacienda

2. Los servicios digitales que sean mercados, motores de búsqueda online y servicios de computación en la nube, como los siguientes servicios de la sociedad de la información (numerus apertus):

a. La contratación de bienes o servicios por vía electrónica.
b. La organización y gestión de subastas por medios electrónicos o de mercados y centros comerciales virtuales.
c. La gestión de compras en la red por grupos de personas.
d. El envío de comunicaciones comerciales.
e. El suministro de información por vía telemática.


Ámbito aplicación territorial

Los operadores sometidos a dicho texto normativo son aquellos:

  1. establecidos en España, entendiéndose aquellos que tengan residencia o domicilio social en España y que la gestión administrativa del negocio se realice desde dicha sede.
  2. Residentes o domiciliados en otro EM que dispongan de un establecimiento permanente en España.
  3. Los proveedores de servicios digitales que tengan su sede social en España y que constituya su establecimiento principal en la Unión Europea, así como los que, no estando establecidos en la Unión Europea, designen en España a su representante en la Unión para el cumplimiento de la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión.

Objetivo principal

La clave es la búsqueda de la “transparencia”, debiendo los operadores de servicios esenciales notificar los incidentes que sufran en las redes y servicios de información que puedan tener un efecto perturbador significativo en los servicios de los operadores, para proceder a subsanar sus efectos cuanto antes.

En definitiva, hemos iniciado el largo camino que puede llevarnos a la cooperación rápida y eficaz a nivel internacional, en el ámbito de la ciberseguridad, así como a lograr una mayor confianza entre los Estados Miembros que tenga como consecuencia un intercambio de información mucho más fluido y transparente.

Newsletter Herrero Digital

Joaquín Abajo

Abogado.

También puede ser de su interés


Comentarios

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

Puedes usar las siguientes etiquetas y atributos HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

1 comentario

  • José Luis 11 octubre, 2018

    Diversas fuentes solventes vienen avisando de la alta probabilidad de un ataque informático, o de diversos ataques combinados, que pueden llevar a un caos en un mundo en que lo hemos confiado todo a la informática.

    Un ataque a compañías suministradores de agua, de luz, de seguros, bancos, aeropuertos.

    Hace unos pocos años unas escaramuzas fronterizas entre dos países latinoamericamos desembocó en ataques a sus respectivas redes logísticas y de suministros. Hablamos por ello de un tema de defensa nacional, siendo necesaria una coordinación entre los estados.

    Las empresas privadas no están a salvo ni de sufrir ataques a modo de extorsión, de intención real de hacer daño, de menoscabar su reputación o meramente de ser utilizadas como instrumento de una estrategia más amplia. Por ello cobra capital importancia poner este tema sobre la mesa de sus respectivos Consejos de Dirección y no relegarlo meramente a los equipos técnicos.

[data-image-id='gourmet_bg']
[data-image-id='gourmet_bg']
[data-image-id='gourmet_bg']
[data-image-id='gourmet_bg']
[data-image-id='gourmet_bg']
[data-image-id='gourmet_bg']
[data-image-id='gourmet']
[data-image-id='gourmet']
[data-image-id='gourmet']
[data-image-id='gourmet']
[data-image-id='gourmet']
[data-image-id='gourmet']
[data-image-id='gourmet']
[data-image-id='gourmet']
[data-image-id='gourmet']
[data-image-id='gourmet']