Esta ley es la primera legislación horizontal adoptada a nivel de la Unión Europea (UE) para la protección de redes y sistemas de información en toda la Unión. En la misma se indican las medidas necesarias para lograr un elevado nivel de seguridad de las redes y sistemas de información dentro de la UE que permita un mejor funcionamiento del mercado interior.
La Directiva NIS se publicó en julio de 2016. Sin embargo, la UE ha abordado los problemas de seguridad cibernética de manera integral desde 2004, cuando se fundó ENISA (Agencia de la Unión Europea para Seguridad de Redes e Información), una nueva agencia especializada de la UE.
La propia Directiva NIS tiene sus raíces en la Comunicación de la Comisión de 2009, que se centra en la prevención y la sensibilización y define un plan de acción inmediata para fortalecer la seguridad y la confianza en la sociedad de la información.
A esto le siguió, en 2013, una Comunicación conjunta publicada por la Comisión y el Alto Representante de la Unión para Asuntos Exteriores y Política de Seguridad sobre la Estrategia de Ciberseguridad de la Unión Europea.
De 2013 a 2015, la Comisión, el Consejo y el Parlamento debatieron intensamente el borrador presentado por la Comisión y estos debates dieron lugar a la Directiva NIS que entró en vigor en agosto de 2016. El plazo para la transposición nacional por parte de los Estados miembros de la UE fue hasta mayo de 2018.
Indice
Estructura
La Directiva NIS consta de 27 artículos.
Los artículos 1 a 6 establecen su alcance y sus definiciones principales, incluida una aclaración adicional con respecto a la identificación de operadores de servicios esenciales.
Del artículo 7 al 10 describen los marcos nacionales que cada Estado miembro debe adoptar para la seguridad de las redes y los sistemas de información. Estos marcos incluyen, entre otros,
- Obligación de los Estados miembros de introducir una estrategia nacional y designar autoridades nacionales competentes (incluido un único punto de contrato y los equipos de respuesta a incidentes de seguridad informática (CSIRT)
- Creación del Grupo de Cooperación
El mecanismo de cooperación se proporciona en el Capítulo III y más específicamente en los artículos 11 a 13.
Se establecen los requisitos de seguridad y para notificar los incidentes que deben cumplir los operadores de servicios esenciales y proveedores de servicios digitales en los artículos 14 a 18.
La adopción de normas y el proceso de notificación voluntaria se tratan en los artículos 19 y 20. Finalmente, los artículos 21 a 27 incluyen las disposiciones finales de la Directiva.
En términos de estructura, este artículo se divide en siete capítulos:
- los primeros tres capítulos discuten las partes afectadas de la Directiva y sus obligaciones en virtud de sus disposiciones,
- los capítulos cuatro y cinco establecen las obligaciones de los Estados miembros con respecto a la estrategia nacional, así como la cooperación a nivel de la UE ,
- el papel crítico de ENISA en la implementación de la Directiva, ya que esto se ve reforzado por la propuesta de un nuevo Reglamento sobre ENISA (Ley de Ciberseguridad de la UE), se presenta en el capítulo 6.
- la relación inevitable de la Directiva con El Reglamento general de Protección de Datos de la UE se establece en el capítulo 7 final.
Operadores de servicios esenciales
La Directiva NIS afecta a dos categorías de empresas, bajo un enfoque claramente diferenciado en términos de obligaciones impuestas a cada una de ellas:
- Operadores de servicios esenciales
- Proveedores de servicios digitales.
Con respecto a la primera categoría, que es operadores de servicios esenciales, su definición incluye una entidad pública o privada que se activa en sectores específicos, como el sector de la energía, el transporte, la banca y la salud, y que al mismo tiempo cumple algunos criterios esenciales que lo califican como una entidad de ese tipo.
En consecuencia, no todos los operadores de servicios esenciales entran en el ámbito de aplicación de la Directiva NIS. Los Estados miembros tienen la tarea de identificarles como tales.
Una vez que una entidad se clasifica como uno de los tipos enumerados en el anexo II de la Directiva NIS, el siguiente paso recae en los Estados miembros, que son responsables de llevar a cabo un proceso de identificación, a fin de determinar qué empresas individuales cumplen los criterios adicionales de la definición de operadores de servicios esenciales.
A este respecto, los Estados miembros pueden ampliar las obligaciones de seguridad y notificación previstas para los operadores de servicios esenciales a entidades pertenecientes a otros sectores y subsectores distintos de los enumerados en el anexo de la Directiva NIS. Varios sectores adicionales, que no se mencionan en el anexo, han sido presentados por diferentes Estados miembros, incluidos, entre otros, las administraciones públicas, el sector postal, el sector alimentario, la industria química y nuclear.
Requisitos de seguridad
Debe asegurarse por los Estados miembros que los operadores de servicios esenciales adopten las adecuadas medidas, técnicas y organizativas, para gestionar los riesgos existentes en la seguridad de los sistemas de información y la red que usan.
Las medidas deben ser adecuadas para evitar y reducir el impacto de fallos o ataques que afecten la seguridad de sus sistemas. El objetivo principal debe ser garantizar la continuidad de dichos servicios.
Sin embargo, ¿cómo puede alcanzarse una perspectiva común de todos los Estados miembros en lo que respecta a estos requisitos de seguridad?
Según la Directiva, los Estados miembros tienen la obligación de aprobar una estrategia nacional sobre este tema. Sin embargo, el enfoque específico de la transposición nacional de la Directiva corresponde a cada Estado miembro.
Para que las disposiciones nacionales sobre requisitos de seguridad se alineen en la mayor medida posible, la Comisión alienta a los Estados miembros a seguir el documento de orientación desarrollado por el Grupo de Cooperación. En este documento se establecen algunos principios generales que todos los Estados miembros deben tener en cuenta al adoptar medidas de seguridad. Estas medidas deben ser efectivas, personalizadas, compatibles, proporcionadas, concretas y verificables.
Requisitos de notificación
Los requisitos de seguridad que deben ser adoptados por los operadores de servicios esenciales están acompañados por otra obligación que es notificar a las autoridades competentes cualquier incidente que tenga un impacto en la continuidad de los servicios (esenciales) que proporciona un operador.
En consecuencia, los operadores de servicios esenciales no deben notificar incidentes menores, sino solo incidentes graves que afecten la continuidad del servicio esencial.
Se establece una lista de parámetros que deben tenerse en cuenta al determinar la importancia del impacto de un incidente:
- número de usuarios afectados,
- duración del incidente y
- extensión geográfica con respecto al área afectada por el incidente.
Una vez más, la coherencia en los enfoques nacionales, en lo que respecta al proceso de notificación, es esencial. Como en el caso de los requisitos de seguridad, el Grupo de Cooperación ha publicado un documento de referencia sobre este tema.
Proveedores de servicios digitales
El segundo tipo de entidades a las que se aplica la Directiva NIS son los proveedores de servicios digitales.
Estos incluyen cualquier persona jurídica que ofrezca un servicio digital y más específicamente un mercado en línea, un motor de búsqueda en línea o un servicio de computación en la nube.
Su regulación se justifica debido al hecho de que muchas empresas dependen de estos proveedores para la prestación de sus propios servicios. Y por ello, una parada del servicio digital podría tener importantes efectos para las actividades económicas y sociales esenciales en la UE.
Cabe señalar que la Directiva NIS no exige que los Estados miembros identifiquen a los proveedores de servicios digitales, lo que garantiza un enfoque global.
Tres tipos de proveedores de servicios digitales entran dentro del alcance de la Directiva NIS:
- proveedores de mercados en línea,
- proveedores de motores de búsqueda en línea y
- distribuidores de servicios de computación en la nube.
Requisitos de seguridad
La Directiva describe las medidas de seguridad que los proveedores de servicios digitales deben tomar para mitigar los riesgos que amenazan la seguridad de la red y los sistemas de información que utilizan para la prestación de su servicio.
Los elementos que un proveedor de servicios digitales debe tener en cuenta al identificar y adoptar medidas de seguridad para su red son:
- Seguridad de los sistemas e instalaciones
- Manejo de incidentes
- Gestión de la continuidad del negocio
- Monitoreo, auditoría y pruebas
- Cumplimiento de las normas internacionales.
La Comisión aprobó un Reglamento de Implementación que especifica más estos elementos. Se consideró esencial la necesidad de una medida legislativa adicional que aclare las disposiciones de la Directiva NIS, en lo que respecta a las obligaciones de los proveedores de servicios digitales.
La razón de esto es que los proveedores de servicios digitales, a diferencia de los operadores de servicios esenciales, son libres de tomar medidas técnicas y organizativas que consideren apropiadas para gestionar el riesgo que representa la seguridad de sus sistemas. Con este fin, las directrices y aclaraciones proporcionadas por el Reglamento de aplicación contribuyen a que los proveedores de servicios digitales de la Unión adopten un enfoque común al abordar esta cuestión.
Requisitos de notificación
Para que un proveedor de servicios digitales proteja la seguridad de su red y sistema de información, se debe seguir un procedimiento de notificación de incidentes.
Los Estados miembros se asegurarán de que los proveedores de servicios digitales notifiquen a la autoridad competente o al CSIRT cualquier incidente con un impacto sustancial en la prestación de su servicio.
Los parámetros que deben tenerse en cuenta para determinar si el impacto de un incidente es sustancial son:
- número de usuarios afectados por el incidente, en particular usuarios que confían en el servicio para la prestación de sus propios servicios;
- duración del incidente;
- distribución geográfica con respecto al área afectada por el incidente;
- alcance de la interrupción del funcionamiento del servicio;
- alcance del impacto en las actividades económicas y sociales.
Cooperación en la UE: Grupo de Cooperación, la red CSIRT
El Grupo de Cooperación, establecido en virtud de la Directiva NIS, estará presidido por la Presidencia del Consejo de la Unión Europea. Reunirá a representantes de los Estados miembros, la Comisión (en calidad de secretaría) y ENISA.
Dentro de las funciones encomendadas al Grupo están:
- posibilitar el intercambio de información y la cooperación estratégica entre los Estados miembros y
- favorecer el desarrollo de la confianza.
El Grupo de Cooperación se ha reunido siete veces a partir de febrero de 2017.
También se establece la creación de una red de CSIRT nacionales. La red CSIRT estará compuesta por representantes de los CSIRT de los Estados miembros y del CERT-EU (el Equipo de respuesta ante emergencias informáticas para las instituciones, agencias y organismos de la UE).
Entre las tareas dentro de las competencias de la red CSIRT están:
- Intercambio de información sobre los servicios, las operaciones y las capacidades de cooperación de los CSIRT
- Intercambio de información relacionada con incidentes y riesgos asociados
- Identificación de una respuesta coordinada a un incidente
- Prestación de apoyo para los Estados miembros al abordar incidentes transfronterizos.
La Comisión participa en la Red CSIRT como observador. ENISA proporciona servicios de secretaría, apoyando activamente la cooperación entre los CSIRT. Dos años después de la entrada en vigor de la Directiva NIS y cada 18 meses a partir de entonces, la Red CSIRT producirá un informe que evaluará los beneficios de la cooperación operativa, incluidas conclusiones y recomendaciones.