Se ha publicado la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión, conocida como Directiva sobre ciberseguridad o Directiva NIS, de la que reseñamos sus aspectos más relevantes.
Entrada en vigor
La Directiva 2016/1148 entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea (lo que tuvo lugar el 19 de julio de 2016).
El objetivo de la Directiva
Esta Directiva tiene como objetivo formalizar “un planteamiento global en la Unión que integre requisitos mínimos comunes en materia de desarrollo de capacidades y planificación, intercambio de información, cooperación y requisitos comunes de seguridad para los operadores de servicios esenciales y los proveedores de servicios digitales.”
Se considera que las redes y sistemas de información “desempeñan un papel crucial en la sociedad”, por lo que “su fiabilidad y seguridad son esenciales para las actividades económicas y sociales, y en particular para el funcionamiento del mercado interior”.
Sin embargo, “La magnitud, la frecuencia y los efectos de los incidentes de seguridad se están incrementando y representan una grave amenaza para el funcionamiento de las redes y sistemas de información.”
Destinatarios de la norma
Por ello esta Directiva “debe aplicarse tanto a los operadores de servicios esenciales como a los proveedores de servicios digitales”, pero no a las empresas que suministren redes públicas de comunicaciones o presten servicios de comunicaciones electrónicas disponibles para el público, ni a los prestadores de servicios de confianza definidos en el Reglamento (UE) n.º 910/2014 del Parlamento Europeo y del Consejo, que están sujetos a los requisitos de seguridad establecidos en dicho Reglamento.
Igualmente, esta Directiva debe entenderse “sin perjuicio de que los Estados miembros puedan adoptar las medidas necesarias para garantizar la protección de los intereses esenciales de su seguridad, preservar el orden público y la seguridad pública, y permitir la investigación, detección y enjuiciamiento de infracciones penales.”
Estructura
La norma se estructura de la siguiente manera:
Capítulo I. Disposiciones generales
Regula el Objeto y ámbito de aplicación de la Directiva, lo relativo al tratamiento de datos personales, la armonización mínima, las definiciones, la identificación de operadores de servicios esenciales y el concepto de Efecto perturbador significativo.
“La presente Directiva establece medidas con el objeto de lograr un elevado nivel común de seguridad de las redes y sistemas de información dentro de la Unión a fin de mejorar el funcionamiento del mercado interior.”
A tal fin, la Directiva: a) establece obligaciones para todos los Estados miembros de adoptar una estrategia nacional de seguridad de las redes y sistemas de información; b) crea un Grupo de cooperación para apoyar y facilitar la cooperación estratégica y el intercambio de información entre los Estados miembros y desarrollar la confianza y seguridad entre ellos; c) crea una red de equipos de respuesta a incidentes de seguridad informática (en lo sucesivo, «red de CSIRT», por sus siglas en inglés de «computer security incident response teams») con el fin de contribuir al desarrollo de la confianza y seguridad entre los Estados miembros y promover una cooperación operativa rápida y eficaz; y d) establece requisitos en materia de seguridad y notificación para los operadores de servicios esenciales y para los proveedores de servicios digitales”
Entre las definiciones, recoge las de «redes y sistemas de información»; «seguridad de las redes y sistemas de información»; «estrategia nacional de seguridad de las redes y sistemas de información»; «operador de servicios esenciales»; «servicio digital»; «proveedor de servicios digitales»; «incidente»; «gestión de incidentes»; «riesgo»; «representante»; «norma»; «especificación»; «punto de intercambio de internet (IXP); «servidor de sistema de nombres de dominio (DNS); «proveedor de servicios de DNS»; «registro de nombres de dominio de primer nivel»; «mercado en línea»; «motor de búsqueda en línea» y «servicio de computación en nube».
Capítulo II. Marcos nacionales de seguridad de las redes y sistemas de información
Regula la Estrategia nacional de seguridad de las redes y sistemas de información; las Autoridades nacionales competentes y punto de contacto único; los Equipos de respuesta a incidentes de seguridad informática (CSIRT) y la Cooperación a escala nacional
“Cada Estado miembro adoptará una estrategia nacional de seguridad de las redes y sistemas de información que establezca los objetivos estratégicos y las medidas políticas y normativas adecuadas con objeto de alcanzar y mantener un elevado nivel de seguridad de las redes y sistemas de información y que cubra al menos los sectores que figuran en el anexo II y los servicios que figuran en el anexo III. ...”
Capítulo III. Cooperación
Regula el Grupo de cooperación; la Red de CSIRT y la Cooperación internacional
“Se establece un Grupo de cooperación a fin de apoyar y facilitar la cooperación estratégica y el intercambio de información entre los Estados miembros y desarrollar confianza y seguridad, y a fin de alcanzar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión.
El Grupo de cooperación ejercerá sus funciones con arreglo a los programas de trabajo bienales a que se refiere el apartado 3, párrafo segundo.”
Capítulo IV. Seguridad de las redes y sistemas de información de los operadores de servicios esenciales
Regula los Requisitos en materia de seguridad y notificación de incidentes y la Aplicación y observancia
“Los Estados miembros velarán por que los operadores de servicios esenciales tomen las medidas técnicas y de organización adecuadas y proporcionadas para gestionar los riesgos que se planteen para la seguridad de las redes y sistemas de información que utilizan en sus operaciones. Habida cuenta de la situación, dichas medidas garantizarán un nivel de seguridad de las redes y sistemas de información adecuado en relación con el riesgo planteado.”
Capítulo V. Seguridad de las redes y sistemas de información de los proveedores de servicios digitales
Regula los Requisitos en materia de seguridad y notificación de incidentes; la Aplicación y observancia y la Jurisdicción y territorialidad
“Los Estados miembros velarán por que los proveedores de servicios digitales determinen y adopten medidas técnicas y organizativas adecuadas y proporcionadas para gestionar los riesgos existentes para la seguridad de las redes y sistemas de información que se utilizan en el marco de la oferta de servicios en la Unión a que se refiere el anexo III. Habida cuenta de los avances técnicos, dichas medidas garantizarán un nivel de seguridad de las redes y los sistemas de información adecuado en relación con el riesgo planteado …”
Capítulo VI. Normalización y notificación voluntaria
Regula la Normalización la Notificación voluntaria
“Los Estados miembros fomentarán, sin imponer ni favorecer el uso de un tipo específico de tecnología, la utilización de normas y especificaciones aceptadas a nivel europeo o internacionalmente que sean pertinentes en materia de seguridad de las redes y sistemas de información.”
Capítulo VII. Disposiciones finales
Se refiere a las Sanciones; al Procedimiento de comité; a la Revisión; las Medidas transitorias; la Transposición; su Entrada en vigor y los Destinatarios de la norma.
“Los Estados miembros establecerán el régimen de sanciones aplicables en caso de incumplimiento de las disposiciones nacionales aprobadas al amparo de la presente Directiva y adoptarán todas las medidas necesarias para garantizar su aplicación. Tales sanciones serán efectivas, proporcionadas y disuasorias.”
En cuanto a la transposición, el art. 25 prevé que “Los Estados miembros adoptarán y publicarán, a más tardar el 9 de mayo de 2018, las disposiciones legales, reglamentarias y administrativas necesarias para dar cumplimiento a lo establecido en la presente Directiva. Informarán de ello inmediatamente a la Comisión.
Aplicarán esas medidas a partir del 10 de mayo de 2018.”
Incluye tres Anexos, el primero relativo a los Requisitos y funciones de los equipos de respuesta a incidentes de seguridad informática (CSIRT); el segundo relativo a los tipos de entidades a efectos del artículo 4, punto 4 y el tercero a los Tipos de servicios digitales a efectos del artículo 4, punto 5.