Transposición de la Directiva sobre seguridad de las redes y de la información (NIS)

DOCUMENTO DE SÍNTESIS

El Consejo de la Unión Europea publicó la versión definitiva de la Directiva sobre seguridad de las redes y de la información (NIS) el 21 de abril de 2016. Si bien esta debe ser oficialmente aprobada por el Parlamento Europeo este verano, el texto en sí ya ha sido acordado por las tres instituciones europeas y no se prevé que sufra modificaciones. Los Estados miembros tendrán que transponerla en su legislación nacional en un plazo de 21 meses tras su adopción. Al objeto de colaborar en este proceso, adjuntamos como apéndice una guía de mejores prácticas para implementar los aspectos relevantes para la industria tecnológica y preservar de forma eficaz las intenciones de los autores del borrador.

La Directiva europea NIS, la primera ley paneuropea sobre ciberseguridad, se centra en reforzar el papel de las ciberautoridades a escala nacional, intensificando la coordinación entre estas e introduciendo requisitos de seguridad para los sectores industriales clave.

Ninguna de las leyes de ejecución nacionales debe obviar los dos objetivos principales de la Directiva: (1) garantizar un elevado nivel de ciberseguridad de las infraestructuras críticas del país; (2) el establecimiento de un mecanismo de cooperación eficaz entre los Estados miembros de la UE para favorecer el logro de esta meta. Los recursos deben dedicarse principalmente a la consecución de estos dos importantes objetivos.

En el caso de la industria tecnológica, las disposiciones relativas a los denominados proveedores de servicios digitales (DSP) revisten especial interés. La Directiva pone de manifiesto claramente que existen diferencias fundamentales entre los operadores de servicios esenciales (OES) y los DSP. De hecho, estos últimos no deben ser considerados una infraestructura crítica como tal. Tal y como reconoce la legislación, un incidente que afectase a estos servicios digitales representaría un nivel de riesgo considerablemente inferior para la seguridad económica y pública de un país. El mantenimiento de esta distinción es esencial para poder desplegar de forma eficaz los escasos recursos de las autoridades que tendrán que supervisar y velar por el cumplimiento de las normas.

En consecuencia, recomendamos prestar especial atención al ámbito de aplicación previsto para los servicios en cuestión y solicitamos a los responsables políticos que no impongan los requisitos de seguridad a sectores distintos de los identificados como DSP y OES en la legislación nacional.

En lo que respecta a la jurisdicción, los DSP deberán poder acogerse a la legislación vigente en el país de su establecimiento principal, incluso en aquellos casos en los que estén involucradas las autoridades competentes de varios países. En lo referente a la supervisión, las autoridades competentes deberán seguir un enfoque a posteriori en lugar de imponer una obligación general de vigilancia de los DSP. Es más, deberán centrarse en los resultados y mantener la distinción entre los OES y los DSP, no sometiendo a estos últimos a los requisitos no previstos por la Directiva, como auditorías e instrucciones vinculantes.

Las medidas de seguridad impuestas a los DSP deberán diferir de las de los OES, dado que la Directiva establece que estos representan un riesgo para la seguridad considerablemente menor. Los responsables de la toma de decisiones deberán materializar la armonización de estos servicios, reconocer los estándares internacionales ya existentes promovidos por la industria, evitar los mandatos tecnológicos y respetar el derecho de los DSP (protegido por la Directiva) a definir las medidas de seguridad más adecuadas para sus sistemas. Los mecanismos de notificación de incidentes también deben, en la medida de lo posible, armonizarse a escala europea, centrarse en los incidentes que afecten a la continuidad del servicio, respetar la flexibilidad en los plazos de notificación y crear un entorno seguro que favorezca la comunicación de información sin exponer a la parte notificante a una mayor responsabilidad.

Las medidas impuestas a los OES también afectarán a otros sectores, ya que las medidas de seguridad y las obligaciones de notificación de incidentes se trasladarán en las disposiciones contractuales. Esto es particularmente crucial en los servicios en nube. En consecuencia, puede que los DSP se vean sujetos de manera indirecta a la legislación nacional de sus clientes y que, por lo tanto, tenemos especialinterés en que las medidas de seguridad internacionalmente reconocidas sean aplicadas a estos servicios. También proponemos, en la medida de lo posible, medidas de coordinación y sinergias entre los requisitos de notificación tanto para los OES como para los DSP, dado que es probable que estos últimos se vean sujetos a una obligación de notificación doble.

La Directiva establece como meta conseguir un elevado nivel de seguridad común en las redes y los sistemas de información con objeto de mejorar el funcionamiento del mercado interno. Para lograr este ambicioso objetivo, las transposiciones nacionales deben centrarse en un enfoque internacional y armonizado basado en el riesgo que proporcione a los actores del sector privado la flexibilidad necesaria para adaptarse a un panorama de amenazas en constante cambio, que permita a las ciberautoridades destinar sus limitados recursos a los problemas más importantes y que reconozca que la solución a un problema sin fronteras tiene que ser global. Esperamos que esta guía sea una herramienta útil para la consecución de este fin y estaremos encantados de responder a las dudas que pueda suscitar.