Era una asignatura pendiente desde que el Parlamento Europeo aprobase en julio de 2016 la denominada Directiva NIS. Es verdad que, como suele suceder en estos casos, se concedió una moratoria a la que el Consejo de Ministros celebrado este viernes ha puesto fin con la aprobación del Real Decreto-Ley para la trasposición de dicha normativa de carácter comunitario.
Pero ¿qué es la Directiva NIS? La pregunta es necesaria y la respuesta más simple quizás sería que la más importante en materia de ciberseguridad de las adoptadas de forma global en el Viejo Continente.
No obstante la ‘Directiva sobre seguridad de redes y sistemas de información’ va más allá y centra su actividad en garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión Europea.
Todo un "hito"
Precisamente, en un comunicado emitido por el Ministerio de Economía y Empresa, se destaca que “el Gobierno ha trabajado desde su toma de posesión para conseguir este hito a la mayor brevedad y cumplir los plazos que impone la Directiva para, entre otros aspectos, designar los operadores de servicios esenciales a los que la ley se dirige”. Y es verdad que es de suma importancia dicha normativa.
Entre otras cuestiones, grosso modo, esta Directiva NIS persigue que las legislaciones nacionales donde tenga vigencia dispongan de los medios necesarios para hacer frente a episodios o incidentes de gran escala, y de los que ha habido algunos ejemplos en el último año.
Por ello, el Real Decreto-Ley al que se ha dado hoy visto bueno se aplicará a las entidades que presten servicios esenciales para la comunidad y dependan de las redes y sistemas de información para el desarrollo de su actividad.
Su ámbito de aplicación se extiende a sectores que no están expresamente incluidos en la Directiva, siempre con el propósito de dar a la norma un “enfoque global”, aunque se preserva su legislación específica.
Operadores críticos
En este sentido, dicho Real Decreto-Ley se aplicará únicamente a los operadores críticos, además de a los proveedores de determinados servicios digitales. Esta aclaración es necesaria puesto que las actividades de explotación de las redes y de prestación de servicios de comunicaciones electrónicas y los recursos asociados, así como de los servicios electrónicos de confianza, están “expresamente excluidos de dicha Directiva”.
El Real Decreto-Ley identifica los sectores en los que es necesario garantizar la protección de las redes y sistemas de información, y establece procedimientos para identificar a los servicios esenciales ofrecidos en dichos sectores, así como los principales operadores que prestan dichos servicios, cumpliendo de este modo con el plazo máximo establecido para ello por la Directiva, de 9 de noviembre de 2018.
A partir de ese momento, en virtud de la nueva normativa, las compañías identificadas como operadores de servicios esenciales, así como los proveedores de servicios digitales, tienen la obligación de notificar los incidentes significativos que sufran en las redes y servicios de información que emplean para la prestación de los servicios esenciales y digitales.
Protección y seguridad
Para lograr sus fines, la propia norma procederá a proteger a las empresas y al personal de las mismas que informen de ese tipo de episodios.
Con la aprobación de hoy, tal y como señala el comunicado del Ministerio, el Gobierno “persigue impulsar el desarrollo del mercado interior a través de la mejora del nivel de seguridad en las redes y sistemas de información que sustentan la prestación de los servicios esenciales y servicios digitales, aumentando la confianza de usuarios y prestadores de servicios en la utilización de tecnologías de la información”.
Asimismo, el Decreto-Ley también incidirá, desde una perspectiva comunitaria, al impulso de la industria europea de ciberseguridad, lo que a su vez redundará en una mejora de la eficacia contra los delitos que involucran a las redes y sistemas de información reduciendo sus efectos en la seguridad pública y, eventualmente, en la nacional.
