1. Inicio
  2. General
  3. La nueva directiva europea de CiberSeguridad, aspectos clave
La nueva directiva europea de CiberSeguridad, aspectos clave

 

Por Víctor Parrado López – Consultor de Sistemas de Gestión de Audisec

Hace ya meses desde que se publicó la DIRECTIVA (UE) 2016/1148 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 6 de julio de 2016, cuyo objetivo principal es establecer una serie de medidas que permitan garantizar un nivel aceptable de seguridad de las redes y sistemas de la Unión Europea.  Desde Audisec les facilitamos estos aspectos clave.

Por la importancia de las redes y sistemas de información actuales los incidentes de seguridad, cada vez más frecuentes y de mayor magnitud, representan una grave amenaza para las actividades de la Unión, pudiendo generar considerables pérdidas financieras. Estos hechos unidos a los diferentes niveles de preparación de los Estados Miembros, necesidades de flexibilidad y a la aparición de nuevas tecnologías da como resultado la necesidad de compromiso a nivel general de seguridad de las redes y sistemas de información de la Unión.

Esta directiva deja patente la definición e importancia de los “Operadores de Servicios Esenciales”, los cuales determinará cada estado miembro y deberá proponer medidas nacionales para determinar qué entidades están sujetas a obligaciones en materia de seguridad de las redes y sistemas de información. Se puede observar la alineación con la conocida Ley de Protección de Infraestructuras Críticas, aprobada en 2011 y cuyo objetivo es Catalogar el conjunto de infraestructuras que prestan servicios esenciales a nuestra sociedad y diseñar un plan que contenga medidas de prevención y protección contra posibles amenazas. Asimismo, la directiva establece la necesidad de comunicación entre distintos estados y especialmente cuando una entidad preste un servicio esencial en dos o más estados miembros.

Estos operadores de servicios esenciales deberán ser identificados antes del 9 de Noviembre de 2018.

Según la directiva “Cada Estado miembro adoptará una estrategia nacional de seguridad de las redes y sistemas de información que establezca los objetivos estratégicos y las medidas políticas y normativas adecuadas con objeto de alcanzar y mantener un elevado nivel de seguridad de las redes y sistemas de información”. Es por eso que para dar una respuesta efectiva a los problemas de seguridad de las redes y sistemas de información se hace necesario un planteamiento global que integre los requisitos mínimos comunes en lo relativo a capacidades, intercambio de información, cooperación y requisitos comunes de seguridad para los operadores de servicios esenciales y proveedores de servicios digitales.

Los proveedores o prestadores de servicios digitales (entendido como “toda persona jurídica que preste un servicio digital”) deberá adoptar “medidas técnicas y organizativas adecuadas y proporcionadas para gestionar los riesgos existentes para la seguridad de las redes y sistemas de información que se utilizan en el marco de la oferta de servicios de la Unión”. Asimismo, se deberá disponer de un proceso formal de notificación a la autoridad competente o al CSIRt cualquier incidente con impacto significativo en la prestación de sus servicios. Cabe mencionar que las obligaciones previstas para estos prestadores no serán aplicables a las microempresas y pequeñas empresas.

Formalmente, la directiva se estructura en 7 capítulos. A continuación haremos un pequeño resumen para que el lector comprenda la arquitectura de la norma.

Capítulo I – Disposiciones Generales

Determina el Objeto y ámbito de aplicación de la directiva, tratamiento de datos personales, establece requisitos para la armonización mínima, definiciones, criterios para la identificación de operadores de servicios esenciales y criterios que determinen la importancia de un efecto perturbador.

Capítulo II – Marcos nacionales de seguridad de las redes y sistemas de información

Cuestiones a abordar para adoptar una estrategia nacional y de seguridad de las redes y sistemas de información. Asimismo, este capítulo define las obligaciones a llevar a cabo por las autoridades nacionales competentes y punto de contacto único, los equipos de respuesta a incidentes y las necesidades de cooperación a escala nacional.

Capítulo III – Cooperación

Regula el Grupo de Cooperación, cuyo fin es apoyar y facilitar la cooperación estratégica y el intercambio de información entre los estados miembros; la red de CSIRT, la cual ayuda a promover una cooperación operativa rápida y eficaz, estableciendo una red de CSIRT nacionales; acuerdos de Cooperación Internacional.

Capítulo IV – Seguridad de las redes y Sistemas de Información de los operadores de Servicios Esenciales.

Regula los requisitos en materia de seguridad y notificación de incidentes, además de exigir información o pruebas para asegurar de que se dispone de las competencias y medios necesarios para exigir a los operadores de servicios esenciales.

Capítulo V – Seguridad de las redes y sistemas de información de los proveedores de servicios digitales.

Se encarga de regular los requisitos en materia de seguridad y notificación de incidentes, además de determinar las características de aplicación y observancia y establece los criterios jurisdiccionales y de territorialidad para los proveedores de servicios.

Capítulo VI – Normalización y Notificación Voluntaria

Trata los artículos relativos a la Normalización a utilizar por los estados miembros así como la regulación de la notificación voluntaria de incidentes de seguridad.

Capítulo VII – Disposiciones finales

Establece las sanciones aplicables en caso de incumplimiento, al procedimiento de comité, revisión, antes del 9 de Mayo de 2019 la comisión presentará un informe con la situación de los estados miembros respecto a la identificación de los operadores de servicios esenciales, las medidas transitorias a implementar (en el presente periodo, todos los estados miembros deberán estar representados en el grupo de cooperación y en la red CSIRT) y Transposición.

Desde Audisec apostamos por la integración de todos los requisitos dispuestos en la presente directiva con sus Sistemas de Gestión y sus mecanismos actuales, ayudados de la herramienta GlobalSUITE – Critical Infrastructures Protection

Menú