¿Cuáles son los retos de la Directiva NIS sobre ciberseguridad?

El Parlamento Europeo aprobó la semana pasada la Directiva sobre la Seguridad de las Redes y de la Información (NIS, por sus siglas en inglés), que establece unas nuevas reglas para proteger los sectores clave ante ciberataques.

En virtud de la misma, tendrán que tomar medidas ante potenciales ciberataques las compañías y entidades que ofrecen servicios esenciales para la sociedad, como energía, transporte, servicios sanitarios, suministro de agua y banca y mercados financieros, Pero también tendrán que reforzar su seguridad las organizacion que con infraestructura digital, como motores de búsqueda, servicios en la nube o plataformas de ecommerce.

Tras su publicación en los boletines oficiales, los Estados miembro tienen 21 meses para su trasposición, por lo que hay que empezar a trabajar en la adaptación al marco legislativo español. Por eso, la Fundación para la Investigación sobre el Derecho y la Empresa (FIDE) organizó esta semana una jornada en la que abordó el impacto normativo y operacional de la Directiva NIS. Una de las  primeras consecuencias de la nueva norma es la exigencia de designar una autoridad única de referencia en cada Estado en los primeros seis meses desde su entrada en vigor. Dicho organismo se encargará de hacer cumplir y aplicar la directiva.

El segundo paso será la identificación de los operadores con infraestructuras críticas. La directiva obliga a los operadores de servicios esenciales a cumplir con determinados requisitos de seguridad de sus redes e información, además de informar al órgano competente sobre incidentes graves.

La identificación de estos operadores corresponderá a los gobiernos nacionales. Según se indicó en la jornada, en España se incluyen en esta lista 93 empresas, que suman alrededor de 300 infraestructuras críticas. Alejandro Sánchez, Senior Director de la práctica de Ciberseguridad y Defensa de FTI Consulting, destacó que para los operadores tradicionales la NIS es una “directiva de mínimos”, pero para los proveedores de servicios digitales lo es de “máximos, dada su naturaleza transnacional”.

Sánchez incidió en dos áreas que resultan ambiguas en el nuevo texto legal: el régimen sancionador en caso de infracción y las condiciones que determinarán en qué medida la autoridad competente debe notificar con carácter público que se ha producido un incidente de ciberseguridad en una empresa. Este último punto resulta muy relevante, “por el impacto reputacional y económico que puede tener”, puntualizó.

Además, otro de los grandes  retos de la Directiva NIS es su gran transversalidad, debiendo conjugarse con otras normativas europeas, como el recién aprobado Reglamento europeo de Protección de Datos, y con las diferentes leyes nacionales vinculadas a la seguridad y los datos, además de las propias de cada sector empresarial. Por ejemplo, en España deberá engranarse con la Ley de Protección de Infraestructuras Críticas (PIC), la Ley de Protección de Datos (LOPD), la Estrategia de Ciberseguridad, además de otras leyes específicas de energía, transporte o agua.