Seguridad

La Directiva NIS de ciberseguridad se incorpora a la legislación española

Escrito por Marcos Merino

La norma identifica los sectores en los que es necesario garantizar la protección de las redes y sistemas de información, y establece exigencias de notificación de incidentes de ciberseguridad

El Gobierno aprobó ayer en Consejo de Ministros el Real Decreto-ley para la transposición de la Directiva europea sobre ciberseguridad de 2016 (la conocida como Directiva NIS), “relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión Europea”. El Gobierno, que dispone ahora de 30 días hábiles para convalidar el decreto-ley en el Congreso de los Diputados, afirma haber trabajado para “cumplir los plazos que impone la Directiva para, entre otros aspectos, designar los operadores de servicios esenciales a los que la ley se dirige”.

Con su aprobación, el Gobierno persigue:

  • Impulsar el desarrollo del mercado interior a través de la mejora del nivel de seguridad en las redes y sistemas de información que sustentan la prestación de los servicios esenciales y servicios digitales, aumentando la confianza de usuarios y prestadores de servicios en la utilización de tecnologías de la información.
  • Facilitar la prestación de servicios con alcance transeuropeo al establecer sobre sus prestadores requisitos similares en todos los Estados miembros en materia de seguridad de las redes y sistemas de información, reduciendo la fragmentación de estos requisitos e impulsando la industria europea de ciberseguridad.
  • Mejorar la eficacia en la lucha contra los delitos que involucran a las redes y sistemas de información reduciendo sus efectos en la seguridad pública y, eventualmente, en la seguridad nacional.

El sector del ecommerce aún desconoce la nueva directiva de medios de pago

Esta normativa identifica los sectores en los que es necesario garantizar la protección de las redes y sistemas de información, y establece procedimientos para identificar a los servicios esenciales ofrecidos en dichos sectores. La norma se aplicará a las entidades “que presten servicios esenciales para la comunidad y dependan de las redes y sistemas de información para el desarrollo de su actividad”, incluso si su sector no se encuentra “expresamente incluido en la Directiva”. En el caso de las actividades de explotación de las redes y de prestación de servicios de comunicaciones electrónicas (expresamente excluidas de dicha Directiva), el Real Decreto-ley se aplicará únicamente en lo que respecta a los operadores críticos.

Con este Real Decreto-ley se pretende obligar a los operadores de servicios esenciales y los proveedores de servicios digitales a que notifiquen los “incidentes significativos” que sufran en las redes y servicios de información que emplean para la prestación de los servicios esenciales y digitales. Para incentivar que se realicen dichas notificación, la norma protege a la entidad notificante y al personal que informe sobre incidentes ocurridos; se reserva la información confidencial de su divulgación al público o a otras autoridades distintas de la notificada y se permite la notificación de incidentes cuando no sea obligada su comunicación.

Vía | La Moncloa

Imagen | Ejército de los EE.UU

Sobre el autor de este artículo

Marcos Merino

Diseñador web y docente de educación no formal, imparte cursos de informática en el medio rural porque las brechas están para cerrarlas. Desde que le nombraron director de la revista de su colegio, no ha dejado de escribir.