red seguridad 074

indica que estas compañías tendrán que trasladar “sin dilación indebi- da” a la autoridad competente o al CSIRT nacional aquellos incidentes de seguridad que sufran y puedan afectar a la continuidad de sus acti- vidades. Como añadido, cuando la amenaza pueda extenderse a los servicios esenciales de otro país de la Unión, los organismos nacionales designados habrán de informar a sus homólogos en los Estados miembros afectados. Para determinar cuándo un inci- dente es importante y debe notificar- se, la nueva regulación apunta que será necesario observar parámetros como el número de usuarios afec- tados, la duración del incidente, la extensión geográfica, el grado de perturbación del funcionamiento del servicio o el alcance del impacto. No obstante, en el caso de los provee- dores de servicios digitales la norma añade que dicha obligación “úni- camente se aplicará" cuando éstos tengan "acceso a la información necesaria para valorar el impacto de un incidente”. La Directiva NIS deja espacio tam- bién para que aquellas compañías que no se encuentren bajo su régi- men, pero quieran notificar los inci- dentes que afecten a la continuidad de sus servicios, puedan hacerlo sin que ello suponga que pasen a estar sujetas a las obligaciones de la norma. Mención especial merece también el capítulo de las sanciones que se establecerán por el incumplimiento de la Directiva. La norma obliga a los Estados miembros a que establez- can un régimen de multas “efectivas, proporcionadas y disuasorias” para las empresas que no sigan sus dis- posiciones. Un aspecto que, en el caso de España, choca precisamen- te con el espíritu que existe con los operadores de las infraestructuras estratégicas. Queda pues un periodo de menos de dos años para dirimir ésta y otras cuestiones relativas a la normativa. Será con toda probabilidad un camino complejo, pero que, al fin de al cabo, contribuirá a construir una sociedad más segura en el entorno digital. materializa, entre otros. Los países deberá revisar esa lista de operado- res, al menos, cada dos años. Por otro lado, los 28 han de con- tar con estrategias nacionales de seguridad de las redes y sistemas de información para establecer sus objetivos estratégicos en esta mate- ria. En ese sentido, España cuenta ya con su Estrategia de Ciberseguridad Nacional desde el año 2013. Otro de los puntos clave que ten- drá que resolver nuestro país, al igual que sus socios europeos, es el nombramiento de una o varias "autoridades nacionales competen- tes", que se encarguen de supervi- sar el cumplimiento de la Directiva y liderar las acciones recogidas en ella. Asimismo, tendrá que nombrar un "punto de contacto único" que ejercerá de enlace entre las auto- ridades de los Estados miembros, así como entre éstas y el Grupo de Cooperación. Igualmente, los diferentes países también tendrán que elegir uno o varios CSIRT con capacidades para la gestión de incidentes de ciber- seguridad en los siete sectores que abarca la directiva. Dicho centro o centros pasarían a formar parte de la red de CSIRT europeos. España cuenta en la actualidad con tres de estos equipos que cumplen los requisitos de la directiva, como son el CERT de Seguridad e Industria, el Centro Criptológico Nacional (CCN- CERT) y el del Mando Conjunto de Ciberdefensa. Finalmente, cabe destacar que los Estados deberán establecer mecanis- mos de colaboración e intercambio de información entre las autoridades competentes, los puntos de contacto únicos y los CSIRT nacionales. - Operadores de servicios esen- ciales y proveedores de servicios digitales. Tanto unos como otros tendrán que establecer unas medi- das mínimas de seguridad para pro- teger sus redes y sistemas de la información. Pero uno de los aspec- tos más sensibles de la Directiva NIS en torno a estos dos tipos de orga- nizaciones es que deberán notificar los incidentes que sufran. La norma ver una cooperación operativa rápida y eficaz". Cada país, por tanto, deberá adoptar una serie de medidas y decisiones conforme a sus necesida- des para adaptarse a esta Directiva. La norma les hace responsables de garantizar unos niveles de seguridad tecnológica óptimos concretamente en dos tipos de organizaciones: - Por un lado, los operadores de servicios esenciales de los siete sectores empresariales que delimita la norma como ámbito de actua- ción: Energía, Transporte, Banca, Mercados financieros, Sanitario, Suministro y distribución de agua potable e Infraestructuras digitales. - Por otro, a los proveedores de servicios digitales, como pueden ser los motores de búsqueda o los servicios en la nube. No obstan- te, la Directiva o se aplicará a las microempresas y pequeñas empre- sas dedicadas a estas actividades. Ejes de la normativa Los Estados miembros de la Unión tendrán que trabajar para trasladar a sus ordenamientos jurídicos la Directiva. Tendrán de plazo hasta el 9 de mayo de 2018 para adaptar sus leyes y comenzar a aplicar las medi- das adoptadas al día siguiente. Una labor que no será sencilla ni siquiera para países como España, que en los últimos años ha conseguido avan- ces notables en varios aspectos que aborda la nueva regulación europea. Existen disposiciones que previsible- mente darán lugar a un importante esfuerzo de análisis para transponer la Directiva. De manera sucinta, los principales ejes de la nueva normativa europea se centrarán en: - Obligaciones para los Estados. La Directiva NIS obliga a los Estados miembros a identificar antes del 9 de noviembre de 2018 a los operadores de servicios esenciales de los siete sectores a los que afecta. Para esta designación, el texto legal establece criterios como la dependencia del funcionamiento de dicho servicios de las redes y sistemas de la informa- ción o los efectos que podría causar un incidente de ciberseguridad si se red seguridad tercer trimestre 2016 37 directiva NIS reportaje