fbpx

Desarrollo de la Ley de Seguridad de las Redes y Sistemas de Información en relación con las empresas de servicios esenciales

Marco común de resiliencia frente a los riesgos de ciberseguridad. Ley NIS

Tribuna
Medidas sobre ciberseguridad

Con el objetivo de impulsar iniciativas para que las empresas de servicios esenciales alcancen un nivel de ciberseguridad adecuado y dotar de una actuación coordinada por parte de las autoridades en materia de ciberseguridad, el pasado día 28 de enero se publicó en el BOE el RD 43/2021, por el que se desarrolla la llamada Ley de Seguridad de las Redes y Sistemas de Información, más conocida como Ley NIS.

Esta Ley es una transposición de la Directiva (UE) 2016/1148 o Directiva NIS (network and information systems). La Directiva NIS ofrece un marco común para mejorar la resiliencia de las redes y los sistemas de información de la Unión Europea frente a los riesgos de ciberseguridad.

La Ley afecta a dos grupos en función del sector y área estratégica. Por un lado, a Operadores de Servicios Esenciales, según se definen en la Ley 8/2011. Se incluyen dentro de esta categoría los siguientes sectores: administraciones públicas; espacio; industria nuclear; industria química; instalaciones de investigación; agua; energía; salud; tecnologías de la información y comunicaciones; transporte; alimentación; así como el sistema financiero y tributario. Y por otro lado, la Ley NIS afecta a Proveedores de Servicios Digitales que incluyan mercados en línea, motores de búsqueda en línea y servicios cloud.

Uno de los aspectos más destacable de este Real Decreto es que da respuesta al marco de medidas de seguridad necesarias a establecer para gestionar los riesgos que afecten a la seguridad de las redes y sistemas de información, así como las correspondientes medidas de mitigación sobre dichos riesgos. Concretamente, respecto a las medidas de seguridad que debe implementar un operador esencial, el art. 6 del RD 43/2021, indica que deben tomar como referencia las recogidas en el Esquema Nacional de Seguridad (ENS).

La mención específica al ENS, como referencia para la adopción de medidas de seguridad, no deja lugar a dudas en cuanto a las preferencias de las autoridades españolas respecto al catálogo de medidas a implementar. Se deja la puerta abierta a otros esquemas y estándares, pero siempre bajo criterios de aceptación y aprobación de las autoridades pertinentes.

El ENS se está imponiendo como el marco de medidas de seguridad de los reguladores. Considerado como el marco de control de referencia de la Administración Pública española, su aplicación se está promocionando para cubrir otros requerimientos regulatorios como la Ley NIS o la Ley de Protección de Datos. En este sentido, la nueva LOPD en su disposición primera, establece también el Esquema Nacional de Seguridad como el elemento idóneo para garantizar las medidas de seguridad técnicas y organizativas que exige el RGPD en el ámbito del sector público y en las empresas vinculadas al mismo, sujetas al derecho privado.

Esto significa que la Agencia Española de Protección de Datos considera adecuado el marco de control de seguridad del ENS para aplicar a los tratamientos de datos de carácter personal. Así pues, no se obliga a aplicar este marco de control para cumplir con estas leyes, pero sí se otorga una legitimidad irrefutable al Esquema Nacional de Seguridad.

Por último, otra de las justificaciones que se está dando para promocionar el ENS como marco de control de seguridad para cumplir con la Ley NIS es su esquema de certificación de conformidad.

Dentro de las novedades del Reglamento, un punto muy importante para tener en cuenta es el de la supervisión. Dentro de las actividades de supervisión de las autoridades de control, se pone de relieve la posibilidad de validar el cumplimiento a través de la certificación en un esquema de seguridad reconocido por la autoridad competente, como puede ser el ENS, con el objeto de acreditar el cumplimiento de las obligaciones de ciberseguridad.

Otra alternativa ofrecida a las autoridades de control para evaluar el cumplimiento será la de auditar o exigir al operador que se someta a una auditoría de seguridad por parte de una entidad externa, solvente e independiente.

El certificado de conformidad con los requerimientos del ENS se está convirtiendo más en una necesidad de cumplimiento que en una opción. Las entidades deben aprovechar la legitimidad adquirida por el Esquema Nacional de Seguridad. Reinventar la rueda utilizando otros marcos de control conlleva esfuerzo y no siempre éxito.