La Directiva sobre Seguridad de las Redes obligará a informar de cada ciberataque

23/07/2016

Miguel Ángel Valero. El Gobierno tiene 21 meses para realizar su transposición. Después, deberá nombrar a una autoridad específica en menos de 6 meses. // Directiva sobre la Seguridad de las Redes y de la Información

La Directiva sobre la Seguridad de las Redes y de la Información (más conocida como NIS, por sus siglas en inglés), aprobada por el Parlamento Europeo, obliga a todas las entidades sujetas a la norma, que son las que sean identificadas como operadores de infraestructuras críticas, a informar de cada ciberataque o de cada incidente de estas características que sufran.

La norma comunitaria debe ser transpuesta a la normativa española en un plazo máximo de 21 meses. Una vez efectuada por el Gobierno la transposición de la Directiva NIS, tendrá 6 meses para nombrar a una autoridad específica, que será la encargada de velar por el cumplimiento efectivo de la normativa, además de coordinarse con sus homólogos de cada uno de los Estados miembros de la Unión Europea.

La Autoridad para la seguridad de las redes y la información y el Gobierno deberán afrontar la tarea más importante: la identificación de los operadores con infraestructuras críticas. La Directiva obliga a las empresas operadores de servicios esenciales a cumplir con determinados requisitos de seguridad de sus redes y de sus sistemas de información. Estas empresas deberán comunicar a la Autoridad cualquier incidente relacionado con la seguridad de sus redes y de su información, como un ciberataque.

Los trabajos iniciales para la transposición de la Directiva sobre la Seguridad de las Redes y de la Información han desembocado en una lista de 93 empresas, que se encargan de la gestión de unas 300 infraestructuras críticas en España.

Las empresas y las entidades que ofrezcan servicios considerados esenciales para la sociedad, o que gestionen infraestructuras consideradas críticas, tienen la obligación legal de tomar medidas más estrictas de seguridad y de prevención ante ataques cibernéticos y otras amenazas para la seguridad de sus redes y de su información.

La Directiva NIS afecta, por tanto, a las empresas dedicadas a la energía, los transportes, los servicios sanitarios, el suministro de agua, la banca, los mercados y servicios financieros, entre otras. Pero también a todas las compañías que cuenten con algún tipo de infraestructura digital, como los motores de búsqueda en Internert, los servicios en la ‘nube’ (cloud), o las plataformas de comercio electrónico, entre otras

Cuestiones pendientes

Lo que no queda claro en la Directiva NIS es si la Autoridad competente en materia de seguridad de las redes y de la información hará público o no que se ha producido un incidente de ciberseguridad en una empresa. Este aspecto es muy importante por el impacto económico pero sobre todo reputacional para una entidad que ha sufrido un ataque cibernático.

Tampoco queda muy claro en la Directiva sobre la Seguridad de las Redes y de la Información cuál es el régimen sancionador en caso de infracción de esas obligaciones por parte de una empresa.

Otro de los grandes problemas que implicará la Directiva NIS es cómo se compagina con otras normas comunitarias, como el Reglamento de Protección de Datos, y con las legislaciones nacionales. En el caso español, la Ley de Protección de Infraestructuras Críticas (conocida como PIC), la Orgánica de Protección de Datos, o la Estrategia de Ciberseguridad diseñada por el Gobierno. Incluso hay normativas de alcance sectorial, como sucede con la energía, el agua o el transporte

¿Te ha parecido interesante?

(+3 puntos, 3 votos)

Cargando...

Aviso Legal
Esta es la opinión de los internautas, no de diarioabierto.es
No está permitido verter comentarios contrarios a la ley o injuriantes.
Nos reservamos el derecho a eliminar los comentarios que consideremos fuera de tema.
Su direcciónn de e-mail no será publicada ni usada con fines publicitarios.