Reglamento de Seguridad de las Redes y Sistemas de Información (NIS)

El 27 de enero se publicó en el Boletín Oficial del Estado el Reglamento de Seguridad de las Redes y Sistemas de la Información (Reglamento NIS). Una norma que tiene como finalidad desarrollar la Ley NIS, aprobada mediante Real Decreto-ley en 2018, respecto al marco institucional en la materia, la cooperación y coordinación, la gestión y notificación de incidentes, las medidas a implantar, la supervisión de los requisitos de ciberseguridad o la función del CISO.

Analizamos en este post esta nueva normativa.

Ámbito de aplicación

El Reglamento NIS es aplicable a los operadores y proveedores de servicios esenciales que realicen su actividad en España.

Estarán sometidos a este real decreto:

  • Los operadores de servicios esenciales establecidos en España. Se considera que estos proveedores están establecido en España tienen su residencia o domicilio social en territorio español, siempre que estos coincidan con el lugar en que esté efectivamente centralizada la gestión administrativa y la dirección de sus negocios o actividades. Así mismo, el reglamento se aplicará a los servicios esenciales que los operadores residentes o domiciliados en otro Estado ofrezcan a través de un establecimiento permanente con sede en España.
  • Los proveedores de servicios digitales que tengan su sede social en España y que sea su establecimiento principal en la Unión Europea, así como los que, aunque no tengan su sede en la Unión Europea, nombren en España a su representante en la Unión para el cumplimiento de la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión.

Este Reglamento no se aplicará a:

  • Los operadores de redes y servicios de comunicaciones electrónicas y los prestadores de servicios electrónicos de confianza que no se consideren como operadores críticos.
  • Los proveedores de servicios digitales cuando sean microempresas o pequeñas empresas, según las definiciones establecidas en la Recomendación 2003/361/CE de la Comisión.

Autoridades competentes

El Reglamento especifica que las autoridades competentes en ciberseguridad serán, con carácter general, las que recoge la Ley NIS: secretarías de Estado de Seguridad, Defensa y para el Avance Digital a través de diferentes órganos.

Sin embargo, también designa autoridades competentes para los operadores privados de servicios esenciales que no sean críticos. En ese sentido, el reglamento NIS señala los organismos responsables para los sectores de transporte, energía, TIC, sistema financiero, espacio, industria química, instalaciones de investigación, salud, agua, alimentación e industria nuclear.

Cooperación y coordinación de los CSIRT

La cooperación entre los CSIRT de referencia, y entre estos y las autoridades competentes, se llevará a cabo mediante la Plataforma Nacional de Notificación y Seguimiento de Ciberincidentes.

Se consideran como operadores con incidencia en la Defensa Nacional los proveedores de servicios esenciales básicos para el funcionamiento del Ministerio de Defensa o para la operatividad de las Fuerzas Armadas establecidos, a propuesta del Ministerio de Defensa, por la Comisión Nacional para la Protección de las Infraestructuras Críticas.

Cuando un operador con incidencia en la Defensa Nacional es víctima de un incidente tiene que analizar si, por su alcance, puede afectar al funcionamiento del Ministerio de Defensa o a la operatividad de las Fuerzas Armadas. Si es así, lo comunicará inmediatamente a su CSIRT de referencia, quien lo pondrá en conocimiento del ESPDEF-CERT del Mando Conjunto del Ciberespacio a través de los canales establecidos.

Punto de contacto único

El Departamento de Seguridad Nacional es el punto de contacto único para actuar como enlace entre autoridades competentes nacionales y la Unión Europea, el Grupo de Cooperación Europeo y la red de CRSIT.

El reglamento especifica las funciones de este organismo, entre las que se encuentran:

  • comunicar a la Comisión Europea la lista de operadores de servicios esenciales nacionales establecidos para cada sector y subsector,
  • transmitir los puntos de contacto de otros Estados miembros de la Unión afectados la información sobre incidentes con impacto transfronterizo o
  • enviar a los CSIRT de referencia y a las autoridades competentes nacionales la información sobre incidentes con efectos perturbadores en los servicios esenciales.

Función del CISO (Responsable de Seguridad de la información)

Uno de los aspectos destacados del Reglamento NIS es la función que desempeñará el CISO en este marco normativo.

Los operadores de servicios esenciales tendrán que designar a una persona como responsable de la seguridad de la información para que ejerza las funciones de punto de contacto y coordinación con las autoridades competentes y CSIRT de referencia. Estos profesionales la función de elaborar las políticas de seguridad para gestionar los riesgos para la seguridad de las redes y sistemas de información y reducir el impacto de los ciberincidentes.

Entre otras actividades, también tendrá que:

  • supervisar y desarrollar la aplicación de las políticas de seguridad, normativas y procedimientos;
  • redactar una Declaración de Aplicabilidad de las medidas de seguridad;
  • actuar como capacitador de buenas prácticas en seguridad de las redes y sistemas de información, tanto en aspectos físicos como lógicos; o
  • comunicar los incidentes perturbadores a la autoridad competente.

El Reglamento NIS recoge asimismo el procedimiento de gestión de incidentes de seguridad, el proceso de notificación a través de la Plataforma Nacional de Notificación y Seguimiento de Ciberincidentes, así como el sistema de supervisión de cumplimiento de obligaciones de seguridad y notificación de incidentes.

Medidas de seguridad

Los operadores de servicios esenciales y los proveedores de servicios digitales están obligados a implantar las medidas técnicas y de organización adecuadas y proporcionadas para gestionar los riesgos que afecten a la seguridad de las redes y sistemas de información que usan para prestar sus servicios, ya sean redes y sistemas propios, o de proveedores externos.

Los operadores de servicios esenciales, tienen que aprobar unas políticas de seguridad de las redes y sistemas de información, teniendo en cuenta los principios de seguridad integral, gestión de riesgos, prevención, respuesta y recuperación, líneas de defensa, reevaluación periódica y segregación de tareas.

Dichas políticas tendrán en cuenta, como mínimo, los siguientes aspectos:

  •  Análisis y gestión de riesgos.
  • Gestión de riesgos de terceros o proveedores.
  • Catálogo de medidas de seguridad, organizativas, tecnológicas y físicas.
  • Gestión del personal y profesionalidad.
  • Adquisición de productos o servicios de seguridad.
  • Detección y gestión de incidentes.
  • Planes de recuperación y aseguramiento de la continuidad de las operaciones.
  • Mejora continua.
  • Interconexión de sistemas.
  • Registro de la actividad de los usuarios.

Gestión de incidentes de seguridad

Los operadores de servicios esenciales y los proveedores de servicios digitales deben gestionar y solucionar los incidentes de seguridad que afecten a las redes y sistemas de información que usan para la prestación de sus servicios, según lo dispuesto en el Capítulo IV del Reglamento NIS.

Para ello, el reglamento establece que, en el caso de las redes y sistemas que no sean propiedad de los operadores, deben aplicarse las medidas necesarias para garantizar que dichas acciones se realizarán por proveedores externos.

En cualquier caso, la obligación de gestionar y resolver los incidentes de seguridad afecta tanto a aquellos detectados por el operador o proveedor como a los que sean señalados por el CSIRT de referencia, al que podrán solicitar voluntariamente ayuda especializada, o la autoridad competente.

¿Cuándo se debe notificar un incidente?

Respecto a cuándo se tienen que notificar los incidentes, el Reglamento NIS establece que los operadores deberán comunicarlos, a través del CSIRT de referencia, cuando puedan tener efectos perturbadores significativos en los servicios.

Igualmente, tendrán que dar cuenta de los sucesos o incidencias que, por su nivel de peligrosidad, pudiesen afectar a las redes y sistemas de información empleados para la prestación de los servicios esenciales, aunque no hayan tenido aún un efecto adverso real sobre aquellos. En ambos supuestos, se contemplan incidentes con un nivel de impacto crítico, muy alto o alto.

Por otra parte, las autoridades competentes podrán establecer obligaciones específicas de notificación que contemplen niveles diferentes a los previstos en la Instrucción nacional de notificación y gestión de ciberincidentes. Las notificaciones mencionadas en el Reglamento NIS no excluyen ni sustituyen a las que deban realizarse a otros organismos, como, por ejemplo, la Agencia Española de Protección de Datos (AEPD).

¿Quién tiene que notificar un incidente?

El Reglamento NIS observa que dicha gestión le corresponde al responsable de la Seguridad de la Información designado. Y que este último tendrá que coordinarse con el responsable de Seguridad y Enlace en los supuestos en que un operador también se regule por la Ley de Protección de las Infraestructuras Críticas (Ley PIC).

Con el objetivo de intercambiar información y hacer un seguimiento de incidentes entre los operadores o proveedores, las autoridades competentes y los CSIRT de referencia de manera segura y confiable, el CCN-CERT, en colaboración con el Incibe-CERT y el ESP-DEF-CERT del Mando Conjunto del Ciberespacio, facilitará a todos los actores involucrados el acceso a la Plataforma Nacional de Notificación y Seguimiento de Ciberincidentes.