¿Me es aplicable la directiva NIS?

María Vidal y Marta Andonegui son socia y asociada, respectivamente, de finReg360

Empecemos por aclarar el significado de las siglas NIS, en inglés, network and information systems, y de la Directiva (UE) 2016/1148,1 conocida como la directiva NIS, que fue el primer paso legislativo de la Unión Europea para impulsar la seguridad de las redes y de los sistemas de información, y para armonizar el nivel general de ciberseguridad en los países miembros. La aprobó el Parlamento Europeo en julio de 2016 y entró en vigor en agosto de ese mismo año.

Hoy, el aumento y variantes de malware representan una grave amenaza para el funcionamiento de las redes y los sistemas de información. Este tipo de amenazas, de materializarse, puede llegar a interrumpir las actividades económicas y causar grandes daños a la economía de la Unión. Por esto nace la directiva NIS, para garantizar un elevado nivel común de seguridad imponiendo mayores obligaciones a determinados operadores sobre seguridad de la información, entre otras medidas.

La directiva se transpuso al ordenamiento jurídico español con el Real Decreto Ley 12/2018, de 7 de septiembre, que amplía su alcance a sectores no expresamente incluidos en la directiva.

Opinión

TE PUEDE INTERESAR

“Diario de un mystery shopper”

Beatriz Benítez Mateo-Sagasta

Muchas son las compañías que han dudado y siguen dudando de la aplicabilidad de esta norma, y, por tanto, no saben si están obligadas a cumplir con los parámetros de seguridad que impone. El motivo de estas líneas es justamente ese, tratar de clarificar qué compañías españolas tienen que tener en cuenta las obligaciones derivadas de las normas citadas. Pues bien, son estas:

1. Operadores de servicios esenciales

Para considerar a una compañía como operador de servicio esencial, tiene que darse las tres siguientes condiciones:

• Estar dentro de los sectores dependientes de las redes y sistemas de información señalados en el anexo de la Ley 8/2011, de infraestructuras críticas: entre otros, los sectores de agua, energía, salud, tecnologías de la información, transporte, alimentación y sistema financiero.
• Estar incluida en los listados publicados para cada sector (actualizados cada dos años) por el Centro Nacional para la Protección de las Infraestructuras Críticas (CNPIC) donde se detalla el tipo de servicio considerado esencial.
• Poder sufrir incidentes que tengan efectos perturbadores significativos para la prestación del servicio (evaluando disponibilidad, zona geográfica, repercusión, duración, seguridad pública, número de usuarios y cuota de mercado).
• Es importante señalar que el CNPIC comunica directamente el nombramiento de «operador de servicio esencial». Ese listado es secreto y no está disponible al público. En cualquier caso, los representantes sectoriales en la mesa de ciberseguridad, convocada trimestralmente por el CNPIC, informan al resto del sector de lo que allí se estipula.

2. Proveedores de servicios digitales

Son proveedores de servicios de la sociedad de la información los que ofrecen los servicios de mercado en línea, motores de búsqueda y computación en nube.

Centrándonos un poco más en el concepto que puede presentar mayores dudas en su interpretación, entendemos el mercado en línea como un servicio que tiene por destinatarios a los empresarios y consumidores, y que consiste en permitir que estos celebren contratos. Es decir, no se refiere solo a la actividad de venta de bienes, sino a la actividad de facilitar a quienes venden y compran un sitio donde llevar a efecto esta actividad comercial (no incluye los sitios web que se limitan a ser intermediarios para la contratación, como los comparadores de ofertas). Es lo que en la práctica se denominan market places, como Apple Store, Play Store (Google), Amazon, etc.

La norma excluye del ámbito de aplicación a los proveedores de servicios digitales que tengan menos de 50 trabajadores y cuyo volumen de negocio anual no supere los 10 millones de euros; en otras palabras, deja fuera a las pymes y microempresas.

3. Prestadores de servicios de confianza

Es decir, los prestadores de servicios de confianza o de comunicaciones electrónicas en cuanto puedan ser designados operadores críticos cnforme a la Ley 8/2011, de infraestructuras crítica, ya citada.

Los operadores sometidos al Real Decreto Ley 12/2018 deben implementar una serie de medidas técnicas, de gestión de riesgos de seguridad, de supervisión y de auditoría continuas. Además de los requisitos técnicos, también han de notificar los incidentes sufridos a los CSIRT o “equipos de respuesta de incidentes” (CCN-CERT o INCIBE-CERT para que analicen los riesgos y los remitan a la autoridad de control competente. La comisión de infracciones muy graves de esta norma podrá tener una sanción de hasta 1.000.000 de euros.

Sin perjuicio de si están o no dentro de la aplicación de las “obligaciones NIS”, la realidad es que muchas compañías españolas empiezan a asumir que estas amenazas informáticas se materializan día a día. Desde nuestra experiencia, los tipos de incidentes de seguridad más frecuentes que nos hemos encontrado en los servicios de apoyo que ofrecemos a las compañías son: (i) suplantaciones de identidad, con un nivel de profesionalización y sofisticación impresionantes, para conseguir transferencias dinerarias, y (ii) los ransomware, que “secuestran” la información cifrándola y solicitan un rescate por ella. Otra de las variantes de cíberdelincuencia es la contratación de sicarios cibernéticos que perpetran los ataques de forma fácil y a un coste asumible.

Aunque con un poco de retraso, como es habitual en este país, parece que las compañías se han puesto las pilas y han empezado a trabajar en servicios de prevención de estos ataques. Es el camino.