Hace tiempo que salió esta nueva Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión, o también llamada “Directiva NIS” (Network and Information Security). Esta Directiva tiene por objeto la protección de las redes y los sistemas de información de los sectores clave de un país. El correcto mantenimiento de estos activos, en unos sectores concretos (Energía, Transporte, Banca, Inf. Mercados Financieros, Sanitario, Agua, Inf. Digital), frente a catástrofes, actos terroristas, uso indebido, etc. puede hacer daño al resto de países de la Unión.
Si bien es cierto que obviamente la Ley de Infraestructuras Críticas sigue existiendo y exigiendo a las Organización declaradas como IC, la nueva Directiva llena el vacío que dejaba, sin requisitos de seguridad, a otras muchas organizaciones, públicas y privadas, que también son fundamentales para la subsistencia del país.
El comienzo de la nueva Directiva
Esta Directiva tiene su origen tras los atentados a las torres gemelas, donde la seguridad de los estados se vio torpedeada. Tras el borrador del año 2013, y la nueva versión publicada en el 2016, se realizaron muchos cambios. Estos cambios, no sólo han sido de contenido, sino también de forma. Si pensamos en que la Directiva para la protección de las Infraestructuras Críticas, fue gestionada con base en el ámbito de la seguridad, los estados miembros de la Unión Europea, soberanos en lo que respecta a su propia seguridad, de lo que pretendía ser en un primer momento, a nivel de restricción y concreción, resultó que muchos países introdujeron vetos, dejando una Directiva menos “concreta y detallada” de lo que era su idea original.
Contrariamente a la anterior, la nueva Directiva NIS, se ha creado en el contexto del establecimiento del mercado interior. De esta forma es posible, que pese a la negativa de algún país, se pueda aprobar de forma independiente. El objetivo es disminuir las vulnerabilidades del ciberespacio, para ello se fijarán niveles comunes de seguridad impulsando la cooperación entre países, lo que facilitará el trabajo conjunto para evitar ataques a Infraestructuras fundamentales para la sociedad y la economía de cada país de la Unión Europea.
Dónde está ahora
La Directiva, en este momento, está pendiente de aprobación en el parlamento español, por lo que en Mayo sabremos más sobre el futuro de esta Directiva. Lo que está claro es que el camino de varios sectores del país versará en cómo realicen implantaciones eficientes, eficaces y al menos coste posible, de todas estas normativas.
Esta Directiva obligará, entre otros aspectos, a:
- Establecer unas férreas estructuras defensivas en las empresas ante ataques cibernéticos.
- Diseñar planes de resiliencia frente a incidentes.
- Establecer canales de comunicación con los órganos de gobierno del país para la notificación de los incidentes.
- Pagar las sanciones económicas que se pongan en caso de incumplimiento.
Quiénes se encargarán de su coordinación
El Centro Tecnológico de Seguridad (CETSE), que comparte ubicación con el Centro Nacional para la Protección de las Infraestructuras Críticas (CNPIC), así como con la Subdirección General de Sistemas de Información y Comunicaciones para la Seguridad (SGSICS), será clave para la coordinación de todos los esfuerzos de España en la implantación de esta Directiva NIS, así como de la Ley de Protección de Infraestructuras Críticas (PIC). La relación con Ley 5/2014, de 4 de abril, de Seguridad Privada, y el futuro Reglamento de Seguridad, pendiente de salir, serán otras normativas fundamentales para trabajar de forma conjunta con esta Directiva.
Origen: Implicaciones de la Directiva NIS para los Estados Miembros
Puedes valorar la entrada: