La trasposición es Real Decreto Ley 12/2018, llamada “Ley NIS”, responde a la necesidad de una estrategia común en materia de ciberseguridad en la UE

La importancia de la Ley NIS por Vicente Moret Millás: “Ya estamos en la geopolítica digital”

Noticia

La directiva NIS busca identificar los sectores en los que se debe garantizar la protección de las redes y sistemas de información y establecer las exigencias de notificación de ciberincidentes

ISACA50_001-Madrid_5c (1)

Cuál es el estado de situación de la implementación de la Ley NIS? La respuesta a la pregunta la ofreció el pasado 23 de mayo en la jornada Jueves ISACA que organiza ISACAMadrid,  Vicente Moret Millás, Letrado de las Cortes Generales y experto del Congreso de los Diputados en Ciberseguridad, quién repasó  la incidencia de la Ley NIS (Seguridad de las Redes y de los Sistemas de Información, vigente en nuestro país tras su transposición en septiembre del año pasado), en una charla organizada por un jueves más ISACA Madrid. Precisamente el próximo 5 de junio, durante la celebración de la High Level Conference on Assurance 2019 de ISACA Madrid (HLCA), se debatirán en profundidad las principales implicaciones de la Ley NIS con ponencias de reconocido prestigio.

La transposición del Real Decreto Ley 12/2018, llamada “Ley NIS”, que en palabras de Erik de Pablo, responsable de investigación de la asociación profesional, puede tener grandes implicaciones en el modelo de compliance de las compañías a las cuáles les afecta, está en vigor desde el pasado mes de septiembre. Aunque ncluye una  primera lista de operadores de servicios esenciales obligados, en noviembre de este año se aumentará con la inclusión demás empresas obligadas.

Moret inició su magistral intervención poniendo en valor el cumplimiento de su obligación como funcionario de divulgar la “cultura de ciberseguridad”, tal y como establece la Estrategia Nacional de Ciberseguridad Nacional, aprobada hace apenas quince días.

Las organizaciones privadas esenciales, obligadas

La Directiva NIS se aprobó para paliar la inexistencia de una estrategia común en materia de ciberseguridad en la UE, lo que suponía una grave vulnerabilidad “desde el punto de vista de la geopolítica incluso.  Ya estamos en la geopolítica digital”, enfatizó a explicarlo Vicente Moret.

En nuestro país, hasta la llegada de esta directiva y su regulación legislativa, en materia de ciberseguridad solo se había visto implicado el sector público mediante el Esquema Nacional de Seguridad (ENS) de 2010, gracias al cual España se sitúa en el número 16 como país más “ciberseguro”, por encima incluso de Alemania. El Decreto Ley obliga al sector privado a  subirse a este carro. En palabras de Moret “con este Real Decreto la Ciberseguridad comienza a convertirse un sector regulado, porque se le impone  y establece la evaluación de riesgos obligatoria, un régimen sancionador con altas multas y procedimientos de supervisión continua ”.

¿Y a qué tipo de empresas afecta? Claramente, a las pertenecientes a los “sectores regulados” como la luz, el agua, la banca… actividades privadas sometidas a un alto nivel de regulación por su importancia, que la administración debe tutelarlas e imponerles más obligaciones de las normales que afectan al resto de empresas.

Están obligadas a su cumplimiento tanto operadores como prestadores de servicios esenciales. Un “operador”  de servicios esenciales  son aquellas organizaciones, empresas privadas e instituciones que lleva a cabo servicios que son necesarios para el mantenimiento de las funciones sociales básicas, y de nuestro tipo de vida, que debe utilizar sistemas de información TI, que podrían entenderse dentro del marco de la Seguridad Nacional.

Son organizaciones dedicadas a prestar servicios de forma masiva en el ámbito de la salud, seguridad, bienestar social, económico, es decir, que gestionan energía, transporte, salud, sistema financiero, agua e infraestructuras digitales... Lo que hasta en el año 2011 se regulaban mediante la Ley de Infraestructuras críticas, que ya contenía un catálogo de sectores señalados.

Hay 171 compañías en esa lista, que es reservada, para evitar dar pistas a quienes quisieran hacer daño a la sociedad a través de ellas. El 9 de noviembre de 2019 entrarán en el listado una segunda ronda de empresas de sectores que no están en la primera lista (espacial, químico, investigación, alimentación y la Administración.

Según la norma, el criterio para decidir si una compañía debe acogerse a ella se mide por tres parámetros: según se cuente con alternativas posibles al servicio que prestan, según el número de posibles afectados y la extensión geográfica o cuota de mercado a la que pueda afectar un incidente grave tenga efectos perturbadores.

Obliga a empresas con sede en España, en otro país de la UE y las no europeas, ambas si tienen establecido un representante permanente en nuestro país. Están excluidas o exentas  las televisiones, las radios, y las micro empresas (menos de 10 asalariados) o pequeñas empresas (menos de 250 asalariados).

La segunda gran categoría obligada es la de “prestadores” de servicios digitales, con la vista puesta en la regulación de un mercado único digital. Serían mercados en línea, motores de búsqueda en línea y servicios de computación en nube. Cualquier empresa que preste servicios digitales está obligada a comunicar su actividad a la administración, a modo de registro.

Las autoridades competentes

Aunque ya contábamos con un marco de autoridades competentes en materia de seguridad en España, con el Decreto Ley (utilizado para evitar la sanción de la UE por no trasponer la directiva en los 21 meses de plazo dados, en el caso español por haber sido parado el proceso legislativo con aprobación parlamentaria por la moción de censura), ese marco competente define quiénes regirán la aplicación normativa.

Las autoridades competentes vienen desde cuatro organismos de cuatro institucines distintas; El CCN -CERT (CNI)+ (que provee de ciberseguridad a Administraciones públicas y Gobierno), el INCIBE-CERT (Ciberseguridad privada; empresas y particulares), el CNPIC (del Ministerio del Interior, encargado hasta ahora de las Infraestructuras críticas), y MCCD o Mando Conjunto de Ciberdefensa,  dependiente del Ministerio de Defensa, encargado de la ciberrespuesta de ciberataque de otro estado, o actores maliciosos.

Los cuatro ministerios han cedido para tener un mando común; el consejo General de Ciberseguridad, para el que se preveía un sistema rotatorio de dirección, que  finalmente ya no rota.

De todos, el mando de nivel superior encargado de coordinar es CCN-CERT (CNI). En los supuestos de especial gravedad, sería el que tiene la última palabra y el contacto con el único punto de contacto nacional con el Departamento de Seguridad Nacional de la Presidencia del Gobierno (cuyo órgano superior es el Consejo de Seguridad Nacional, encargado de la comunicación con la comunidad de ciberseguridad europea).

¿A qué obliga la norma?

La norma implica nuevas obligaciones para los operadores de servicios esenciales y los proveedores de servicios digitales.

  • La primera, adoptar medidas técnicas y de organización, es decir, tener medidas de ciberseguridad en tu empresa. Tomar esto más en serio de lo que nos lo hemos tomado hasta ahora, sin caer en el “ciber histerismo”.
  • La segunda, contar con una persona responsable de seguridad de la información, que está por comprobar si puede coincidir con la figura del DPO o no; dependerá del volumen de la empresa. Esta figura generará aún más oportunidades de empleo en nuestro país.
  • La tercera obligación de notificar los ciberataques e incidentes relevantes (en la fase inicial, intermedia y final), lo que antes del Decreto Ley muchas veces no se hacía porque se temía el riesgo reputacional que ello conllevaba.  Ahora la máxima va a ser que, ante la mínima duda, hay que notificar para evitar sanciones.

Para gestionar esta obligación se ha creado la Plataforma Lucía que simplificará procesos de notificación, servirá como canal para comunicar los incidentes y permitirá justificarse ante la administración y así también eludir  responsabilidades patrimoniales resultantes de un ataque o incidente. Se trata de una plataforma común para realizar la obligada notificación, pero en ningún caso sustituye a la debida denuncia ante la fiscalía o las FFCC de SE.

Y ¿qué dice el Real Decreto que hay que notificar? Todos aquellos incidentes que tengan efectos perturbadores significativos, que afecten a la propia compañía o a terceros, teniendo muy claro la la mera notificación no exime de la consiguiente denuncia ante fiscalía.

Para que no haya ninguna tentación de callar por miedo a represalias o consecuencias, la norma incluye una clausula de protección de los denunciantes para que los que informen sobre incidentes, no puedan sufrir consecuencias alguna sobre su puesto trabajo o con la empresa, salvo que se demuestre un supuesto  de mala fe (por ejemplo, alguien despedido). Además la autoridad competente, a partir de esta ley, puede obligar a divulgar o comunicar un incidente a la opinión pública o a terceros afectados, e incluso notificarlo ella misma si la compañía afectada no quisiera.

Esta Ley responde también al esquema clásico de facultades de Policía en un sector regulado, sometido a constante inspección, por lo que las autoridades podrán ordenar auditorías, (como si fuera las ITV de los coches) para confirmar que se cumple la norma en el caso de los operadores de servicios esenciales. Los proveedores de servicios digitales solo serán inspeccionados si existe una denuncia previa.

El régimen sancionador, la clave del cumplimiento

El régimen sancionador se basa en los clásicos principios de ilegalidad, tipicidad y proporcionalidad y catalogará las infracciones como muy graves, o graves. No subsanar de las deficiencias detectadas y puestas de manifiesto, incumplir reiteradamente la obligación de notificar incidentes con efectos perturbadores significativos y no resolver o no acudir al CSIRT de referencia cuando el incidente esos mismos efectos, serán infracciones  catalogadas de  muy graves y tendrán una multa que va desde los 500.001€ hasta 1millón de €.

Incumplir disposiciones reglamentarias o instrucciones técnicas se seguridad referidas a las precauciones mínimas, la falta de adopción de medidas  o para subsanar deficiencias detectadas tras una supervisión de la autoridad, incumplir la obligación de notificar, la notoria falta de interés en la resolución de incidentes, proporcionar información falsa o engañosa al público sobre estándares o certificaciones y obstaculizar la realización de auditorías serán consideradas infracciones graves y las multas irán desde  los 100.001€ hasta los 500.000€.

Las faltas leves, a modo de cajón desastre, recogen el resto de incumplimientos de la norma  y conllevarán desde la amonestación a multa de 100.000€, es decir, que si se incumple y es la primera vez, la legislación prevé la posibilidad de que se enmiende antes de establecer sanciones. Para ello se facilitará el plazo de un año para solventar las deficiencias en el cumplimiento, y no de 6 meses como estaba según la Ley 39/2015.

Empresas, Estados y sociedad, involucrados por fin

En opinión de Vicente Moret, los tiempos del ciberespacio como ámbito fuera de la ley se han terminado. Ha habido un giro y los estados se han dado cuenta  de que la seguridad en las nuevas tecnologías es tan importante y serio, que no podían no intervenir. El mero hecho de que se den comparecencias como las de Mark Zuckerberg explicando qué ha hecho con nuestros datos es una muestra.

La aprobación de la directiva NIS y el Real Decreto -L 12/2018 suponen un intento de convertir la ciberseguridad en un sector de actividad casi completamente regulado y según Moret “ha nacido el compliance sobre ciberseguridad que supondrá una nueva línea de negocio para abogados, que van a tener que ir de la mano de los ingenieros, lo que supone  un primer paso y un gran avance para que el mundo del derecho entre para quedarse en el mundo de la ciberseguridad”.

La regulación se da en un contexto idóneo del sector, como muestra el dato de los 250.000 millones de € de crecimiento adicional en el PIB en los próximos 5 años, o los 120.000 profesionales año que son necesarios en materia de  seguridad solo en España. La normativa tiene también importancia geopolítica, pues supone la formación de un modelo propio de regulación del ciberespacio en la UE y un amplio escenario de estrategia para el mercado digital único europeo. Se trata de apostar por seguir en lo posible al paso de la Disrupción digital.

No obstante, quedan cuestiones pendientes, como la habilitación de una plataforma única de notificación incidentes que posibilite la existencia de una sola ventanilla de la administración, establecer estándares comunes para habilitar procesos de acreditación y a las empresas dedicadas a realizar auditorías de ciberseguridad. En opinión de Moret, los ISOs existentes no son suficientes.

Según este experto, existe un proyecto de la UE sobre la creación de un marco general europeo estable de certificación de ciberseguridad. Para ello creará un marco de autoridades nacionales generar un organismo de evaluación de la conformidad “que será una empresa privada certificada, que serán los futuros certificadores de la ciberseguridad, porque la Administración no puede acometer toda esa labor y necesita a los agentes privados”, explicó.

Moret Villas dejó claro que aunque aún hay mucho que hacer ya hay un cambio cultural y se comienza a ver la ciberseguridad  como algo normal, como ocurrió en su momento con el consumo o los riesgos laborales, que ahora forman parte de nuestra cultura. Sin embargo señaló que debería haber mayor comunicación a nivel empresas y sociedad en general sobre este tema, las normativas que se van a aplicar y la necesidad imprementarlas y de tomarse en serio los riesgos.

Según él “España cuenta con mecanismos,  protocolos, responsabilidades y estructura como para que cualquier incidente grave contra el Estado nos podría superar por embergadura, pero no por la inacción. Somos un país que nos adaptamos rápido y muy flexible como cultura.

Estamos en la posición 16 en materia de ciberseguridad según Naciones Unidas”.