Reglamento NIS: Nueva pieza del ecosistema normativo de seguridad

El pasado 28 de enero, el BOE publicó el esperado Real Decreto 43/2021 por el que se desarrolla nuestro Reglamento de Seguridad de las Redes y Sistemas de Información (Reglamento NIS). Su finalidad es desarrollar la Ley NIS aprobada en 2018 sobre marco institucional de la materia, cooperación y coordinación, gestión y notificación de incidentes o la función del CISO, entre otros aspectos.

Ya en 2016 se publicó una Directiva de protección de las redes y sistemas de información (acrónimo NIS por sus siglas en inglés). Con esta regulación, la Comisión Europea identificaba los sectores críticos o cruciales para el buen funcionamiento económico-social de los diferentes países de la Unión Europea. A esto se sumaba una creciente preocupación por la ciberseguridad a lo largo de todo el territorio, ya que una incidencia grave de las redes y sistemas de información podía paralizar la actividad económica y ocasionar importantes pérdidas financieras a diferentes estados-miembro e incluso a la Unión Europea en su conjunto.

Es por ello que el Reglamento NIS afecta directamente a los operadores y proveedores de servicios esenciales con actividad en España, quedando excluidos de su ámbito de aplicación los prestadores de servicios electrónicos de confianza que no sean designados como operadores críticos. Tampoco aplica a pequeñas empresas de servicios digitales.

Similitudes y diferencias con la Ley PIC

El principal punto de encuentro entre el Reglamento NIS y la Ley de Protección de Infraestructuras Críticas (Ley PIC) es la protección de aquellos sectores clave para el buen funcionamiento del país, de hecho, el Reglamento NIS toma como referencia el listado de sectores esenciales ya elaborado con anterioridad por la Ley PIC.

Sin embargo, mientras que la LPIC trata la ciberseguridad como un componente de revisión más, el Reglamento NIS da un nuevo enfoque y considera la ciberseguridad como un factor clave y único, dotándolo de mayor protagonismo en la estrategia de seguridad del país. Años de ciberataques concienciaron a la UE de la necesidad de establecer una regulación específica a nivel normativo de los requisitos de seguridad en redes y sistemas de información de las grandes compañías.

A continuación, listamos las principales novedades del Reglamento NIS.

Autoridades competentes

Las autoridades competentes serán con carácter general las que recoge la Ley NIS, es decir, las secretarías de Estado de Seguridad, Defensa y para el Avance Digital. Sin embargo, también designa autoridades competentes para los operadores privados de servicios esenciales que no sean considerados críticos (transporte, energía, TIC, sistema financiero, espacio, industria química, instalaciones de investigación, salud, agua, alimentación e industria nuclear).

Responsable de seguridad: el papel del CISO

Los operadores de servicios esenciales tendrán que designar a un CISO (responsable de la seguridad de la información) como punto de contacto y coordinador con las autoridades competentes y CSIRT de referencia. Entre sus funciones estará elaborar las políticas de seguridad necesarias para gestionar los riesgos y reducir el impacto de los ciberataques.

También tendrá que supervisar y desarrollar esas políticas, normativas y procedimientos, elaborar el documento de Declaración de Aplicabilidad, actuar como capacitador de buenas prácticas y notificar los incidentes relevantes a la autoridad competente. Este CISO podrá recibir asesoramiento por parte de un tercero experto en la materia.

Notificación de incidentes

El Reglamento NIS establece un sistema de cooperación y coordinación entre los CSIRT (equipos de respuesta a incidentes de seguridad) de referencia. Para ello crea la Plataforma Nacional de Notificación y Seguimiento de Ciberincidentes, que tendrá varios canales de comunicación seguros y garantizará la disponibilidad, autenticidad, integridad y confidencialidad de la información.

Punto de contacto único

El Departamento de Seguridad Nacional será el punto de contacto único e intercambio de información entre autoridades competentes, el Grupo de Cooperación Europeo y la red de CSIRT. Entre sus funciones estará comunicar a la Comisión Europea la lista de operadores de servicios esenciales nacionales establecidos para cada sector.

Medidas de seguridad

El Reglamento NIS incluye una mención específica al ENS (Esquema Nacional de Seguridad) y otros estándares de seguridad reconocidos internacionalmente para dictar medidas de seguridad pertinentes en las redes y sistemas de información correspondientes.

Con la entrada en vigor del Reglamento NIS, seguimos completando el puzzle de requisitos legales de seguridad

La clave está en que todas estas piezas no son independientes entre sí, sino que interaccionan y se complementan, exigiendo una adecuada coordinación entre ellas para así evitar duplicidades y optimizar tanto esfuerzos como resultados. En este sentido, el Esquema Nacional de Seguridad (ENS), la Ley de Protección de Infraestructuras Críticas (LPIC) junto con su Reglamento de Desarrollo (RDLPIC) e incluso la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD) comparten una serie de requisitos de la misma índole que deben abordarse con un enfoque holístico y no de forma independiente.