España incorpora en su legislación la Directiva 2016/1148 (UE), relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión, más conocida como Directiva NIS (Security of Network and Information Systems). Entre las obligaciones de esta nueva normativa, destaca la obligatoriedad de crear la figura del responsable de seguridad. En este post de Conversia hacemos un breve resumen de la norma.

¿Qué incluye la Directiva NIS al marco normativo español?

En 2020, el Instituto Nacional de Ciberseguridad (Incibe) gestionó 133.155 incidencias relacionadas con la seguridad en la red, cifra que representa un incremento de casi un 24% respecto a 2019. Ante esta circunstancia, no es de extrañar que las administraciones impulsen iniciativas legislativas para frenar la ciberdelincuencia.

En este sentido, el pasado mes de enero, España publicó el Real Decreto 43/2021, por el que se desarrolla el Real Decreto-ley 12/2018, de seguridad de las redes y sistemas de información. El objetivo de este RD-ley es transponer la Directiva 2016/1148 de la Unión Europea, más conocida como NIS, al ordenamiento jurídico español.

Esta nueva medida legislativa obligará a operadores de servicios esenciales, así como a los proveedores de servicios digitales (mercados digitales, motores de búsqueda y servicios en la nube) a adoptar las medidas técnicas y de organización adecuadas para gestionar los riesgos que afecten a la seguridad de las redes y sistemas de información utilizados para la prestación de sus servicios, tanto de redes y sistemas propios, como de proveedores externos. Según la Ley 8/2011 se entienden por servicios esenciales: administraciones públicas, espacio, industria nuclear, industria química, instalaciones de investigación, agua, energía, salud, tecnologías de la información y comunicaciones, transporte, alimentación y sistema financiero y tributario.

Entre las novedades que incorpora la nueva normativa, destacamos:

  • Creación de la figura del responsable de seguridad: se encargará de coordinar los trabajos en materia de ciberseguridad, elaborar las políticas de seguridad de la empresa, velar por el cumplimiento de la ley, mantener la comunicación con las autoridades competentes, evaluar las medidas aplicadas en este ámbito, entre otros.
  • Creación de una política de gestión de riesgos: las empresas deberán contar con un protocolo que determine como se enfrentarían, reducirían o resolverían los problemas relacionados con la ciberseguridad, si estos se produjeran.
  • Adopción de medidas adecuadas para los sistemas y redes de información: se tendrá que poner en marcha una relación de medidas analizadas exhaustivamente en relación con la gestión de los sistemas y las redes. Para la implantación de unas medidas adecuadas se recomienda el uso del ENS (Esquema Nacional de Seguridad), de uso obligatorio para las entidades públicas.
  • Certificación del cumplimiento de la ley: Tras una revisión, la autoridad competente otorgará un certificado de cumplimiento de la ley NIS a las empresas que cumplan con todo lo establecido, fomentando que las compañías cuenten con estructuras sólidas que puedan resolver ciberataques en poco tiempo.
  • Política y protocolo de notificaciones a la autoridad competente: El RD-ley aprueba la Instrucción Nacional de Notificación y Gestión de Ciberincidentes con el objetivo que, en caso de producirse un incidente, se informe a la autoridad (CCN-CERT) lo más rápido posible a través de notificaciones sencillas y ágiles para obtener soluciones y evitar que los problemas se agraven.

Puedes leer más noticias relacionadas con el mundo digital en este blog de Conversia.