redseguridad 082

red seguridad tercer trimestre 2018 17 normativa reportaje internacional. La regulación estable- ce vínculos entre autoridades y con las empresas para facilitar y mejorar la atención a incidentes como, por ejemplo, el de WannaCry. El Consejo de Seguridad Nacional ejercerá, a través del Departamento de Seguridad Nacional, la función de enlace que garantice la coopera- ción transfronteriza de las autoridades competentes, así como con el grupo de cooperación y la red de CSIRT europea. Medidas de seguridad Otro de los ejes de este texto es la implantación de medidas técnicas y organizativas de seguridad frente a los riesgos cibernéticos, que se deta- llarán en el posterior reglamento de desarrollo. Además, las autoridades competentes podrán establecer otras medidas específicas y dictar instruc- ciones técnicas y guías orientativas para implementar ese refuerzo. Igualmente destaca la exigencia de nombrar a "la persona, unidad u órga- no colegiado responsable de la segu- ridad de la información, como punto de contacto y de coordinación téc- nica con a la autoridad competente", cuyas funciones quedarán igualmente para un posterior desarrollo. La Ley NIS sienta las bases para concretar en el reglamento varios aspectos, como la valoración del impacto de algunos ataques, cuáles serán los "supuestos de especial gra- vedad" que requieran la coordinación de las autoridades o la notificación de incidentes que no hayan tenido un efecto adverso real. Infracciones El capítulo más temido: las infraccio- nes. Los operadores y prestadores de servicios que no cumplan se exponen a sanciones que irán desde amones- taciones o multas hasta 100.000 euros en el caso de infracciones leves, hasta multas que pueden llegar al millón de euros en los casos graves. Aun así, los órganos con competencia sancionadora podrán apercibir a la organización responsable de una infracción para que adopte medidas correctoras en un plazo determinado para evitar este castigo. ámbito público. Este centro ha sido designado además como "coordina- dor nacional" de la respuesta técnica de los CSIRT en los casos de especial gravedad y que requieran una actua- ción conjunta. • El Incibe-CERT recibirá las comunicaciones de los operadores críticos y de los proveedores de ser- vicios digitales que no sean públicos. Igualmente será el CSIRT de refe- rencia para ciudadanos y entidades privadas. • El ESPDEF-CERT , del Ministerio de Defensa, cooperará con los ante- riores en aquellos casos de especial necesidad o de carácter militar. La nueva norma prevé la crea- ción de una "plataforma común" de notificación de incidentes para facilitar y automatizar esas comuni- caciones. Esta herramienta también podrá emplearse para trasladar las vulneraciones de seguridad relaciona- das con los datos personales, según establece el Reglamento General de Protección de Datos. El real decreto-ley incluye una serie de factores que orientan a la hora de valorar cuándo es necesario notificar un incidente, si bien no es nada pre- cisa y remite para mayor concreción a la decisión que adopte la Comisión Europea al respecto. La Ley NIS, de nuevo en línea con la normativa PIC, considera que son indicadores de esa necesidad: el número de usuarios afectados, la duración del incidente, su extensión, el grado de pertur- bación que origine, el alcance del impacto en actividades económicas y sociales cruciales, la importancia de los sistemas o información afectados y el daño a la reputación. La medida protege, no obstante, la información confidencial que resul- te de estas comunicaciones, pero a su vez habilita a las autoridades de referencia para divulgar públicamente o a otras autoridades los incidentes. En ese caso, obviarán aquella infor- mación que pueda perjudicar a la organización afectada. Cooperación La cooperación a todos los niveles es otra de las bases de esta Ley NIS, tanto a escala nacional como diferentes autoridades de referencia, según el tipo operador o proveedor del que se trate. Estas autoridades se harán cargo, entre otras funciones, de supervisar el cumplimiento de esta ley, establecer obligaciones específi- cas, colaborar con otras autoridades, dictar guías y normas o sancionar a quienes la incumplan. Serán también las que recibirán, a través de los CSIRT asignados, las notificaciones sobre incidentes de ciberseguridad que produzcan "efectos perturbado- res" para las empresas o administra- ciones sujetas a esta regulación. Las autoridades competentes son: • La Secretaría de Estado de Seguridad, a través del Centro Nacional de Protección de Infraestructuras y Ciberseguridad (CNPIC ), en el caso de los operado- res críticos. • El Ministerio de Defensa, a tra- vés del Centro Criptológico Nacional , para aquellos operadores estratégicos y proveedores de servicios digitales de ámbito público que no sean críticos. • La Secretaría de Estado para el Avance Digital , del Ministerio de Economía y Empresa, para los pro- veedores de servicios digitales pri- vados. La norma, no obstante, deja pen- diente para el posterior desarrollo reglamentario cuáles serán las auto- ridades sectoriales correspondientes para aquellos operadores de servicios esenciales que no sean críticos y que no pertenezcan al sector público. Notificación de incidentes Una de las disposiciones más contro- vertidas que introdujo la Directiva NIS es la obligación de que las empresas notifiquen los incidentes de ciberse- guridad. Para ello, y con el objetivo de conseguir una mejor respuesta a los ataques, también implantó la nece- sidad de que los Estados miembros creen una "ventanilla única" a través de la cual comunicar esos percances. La Ley NIS establece fundamental- mente dos CSIRT de referencia para trasladar esos incidentes y uno de apoyo para casos de especial necesi- dad, que son: • El CCN-CERT , que atenderá las notificaciones de las entidades de