Publicación del Reglamento de ejecución NIS (para proveedores de servicios digitales)

(Esta entrada ha sido elaborada en colaboración con Ana Marzo, de Equipo Marzo, que proporcionó buena parte de la información).

Hace apenas un par de semanas se ponía en contacto conmigo Ana Marzo, de Equipo Marzo, una abogada por la que tengo un gran respeto profesional, para comentarme acerca de la publicación, no esperada (al menos por mí), de un nuevo reglamento de la Comisión relacionado con la Directiva NIS, que he llamado en un alarde de originalidad Reglamento de ejecución NIS.

En efecto, el pasado 30 de enero se publicó el Reglamento de Ejecución (UE) 2018/151 de la Comisión, de 30 de enero de 2018, por el que se establecen normas para la aplicación de la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo en lo que respecta a la especificación de los elementos que han de tener en cuenta los proveedores de servicios digitales para gestionar los riesgos existentes para la seguridad de las redes y sistemas de información, así como de los parámetros para determinar si un incidente tiene un impacto significativo.

Al menos a mí me pilló por sorpresa (y estoy seguro de que a algunos de nuestros lectores les pasará lo mismo), ya que esperaba una transposición de la directiva, no un reglamento que emanara directamente de la Comisión (lo que no quita que, por supuesto, vayamos a disfrutar de nuestra propia legislación NIS-compliant, que al legislador hay que tenerlo ocupado…). Dado que, aunque en ambitos diferentes, ambos habíamos coincidido en un mismo cliente que encajaba en el concepto de proveedor de servicios digitales y por tanto podría verse afectado, nos preguntamos por la aplicabililidad del reglamento a este cliente en concreto. Por ejemplo, ¿está afectado un periódico online? ¿Y una web de venta online? ¿Un bingo online? ¿Y la compra-venta entre particulares? Derimir la respuesta a estas preguntas es el objeto de esta entrada.

La cuestión principal para determinar el alcance del Reglamento de Ejecución 2018/151 radica en determinar qué entiende este como “proveedor de servicios digitales”. Para ello, el primer punto pasa por analizar su objeto, que se establece en el artículo 1, y que referencia directamente a la Directiva 2016/1148 (a lo largo de este texto, la cursiva y la negrita son del autor, no del original):

El presente Reglamento precisa los elementos que han de tener en cuenta los proveedores de servicios digitales a la hora de establecer y adoptar medidas para garantizar un nivel de seguridad de las redes y sistemas de información que utilizan en el marco de la oferta de los servicios contemplados en el anexo III de la Directiva (UE) 2016/1148, y detalla los parámetros para determinar si un incidente tiene un impacto significativo en la prestación de dichos servicios.

Para identificar la naturaleza de dicha oferta de servicios, es necesario revisar lo que la Directiva 2016/1148, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión, actualmente en proceso de transposición a la legislación española y conocida en el sector como Directiva NIS, especifica en su anexo III:

Tipos de servicios digitales a efectos del artículo 4, punto 5, de la propia directiva:

1. Mercado en línea.

2. Motor de búsqueda en línea.

3. Servicios de computación en nube.

Si acudimos al artículo 4, punto 5, de la misma Directiva NIS, esta define “servicio digital” como:

[…] un servicio en el sentido del artículo 1, apartado 1, letra b), de la Directiva (UE) 2015/1535 del Parlamento Europeo y del Consejo que sea de uno de los tipos que figuran en el anexo III.

Y “proveedor de servicios digitales” como:

[…] toda persona jurídica que preste un servicio digital.

Si seguimos desenrollando la madeja y atendemos a lo que especifica el artículo 1, apartado 1, letra b de la Directiva 2015/1535, por la que se establece un procedimiento de información en materia de reglamentaciones técnicas y de reglas relativas a los servicios de la sociedad de la información, esta define “servicio” como:

[…] todo servicio de la sociedad de la información, es decir, todo servicio prestado normalmente a cambio de una remuneración, a distancia, por vía electrónica y a petición individual de un destinatario de servicios

A efectos de la presente definición, se entenderá por: 

i) «a distancia», un servicio prestado sin que las partes estén presentes simultáneamente,

ii) «por vía electrónica», un servicio enviado desde la fuente y recibido por el destinatario mediante equipos electrónicos de tratamiento (incluida la compresión digital) y de almacenamiento de datos y que se transmite, canaliza y recibe enteramente por hilos, radio, medios ópticos o cualquier otro medio electromagnético,

iii) «a petición individual de un destinatario de servicios», un servicio prestado mediante transmisión de datos a petición individual.

En el anexo I figura una lista indicativa de los servicios no cubiertos por esta definición;

Es especialmente interesante analizar las excepciones que el anexo I referencia, en concreto en lo referente al punto i):

1. Servicios no ofrecidos «a distancia»:

Servicios prestados en presencia física del prestador y del destinatario, aunque impliquen la utilización de dispositivos electrónicos:

a) revisión médica o tratamiento en la consulta de un médico con utilización de equipo electrónico, pero con la presencia física del paciente;

b) consulta en la tienda de un catálogo electrónico en presencia física del cliente;

c) reserva de billetes de avión a través de una red de ordenadores realizada en una agencia de viajes en presencia física del cliente;

Si además atendemos a lo que se especifican como excepciones a los puntos ii) y iii), realizando un análisis diferencial, parece claro que el concepto de “servicio” según lo entiende la Directiva NIS incluye, por defecto, la práctica totalidad de servicios web y comercio electrónico:

2. Servicios no ofrecidos «por vía electrónica»

— Servicios cuyo contenido es material, aunque se presten utilizando dispositivos electrónicos:

a) expendeduría automática de billetes (billetes de banco, billetes de ferrocarril);

b) acceso a redes de carretera, aparcamientos, etc., de pago, aun cuando en las entradas o salidas haya dispositivos electrónicos que controlen el acceso o aseguren el pago adecuado.

— Servicios fuera de línea: distribución de CD-ROM o de programas informáticos en disquetes.

— Servicios no prestados por medio de sistemas electrónicos de tratamiento o almacenamiento de datos:

a) servicios de telefonía vocal;

b) servicios de fax y télex;

c) servicios prestados por medio de telefonía vocal o fax;

d) consulta médica por teléfono o fax;

e) consulta jurídica por teléfono o fax;

f) marketing directo por teléfono o fax.

3. Servicios no prestados «a petición individual de un destinatario de servicios»

Servicios prestados mediante transmisión de datos sin petición individual y destinados a la recepción simultánea por un número ilimitado de destinatarios (transmisión punto o multipunto):

a) servicios de radiodifusión televisiva (incluidos los servicios de cuasivídeo a la carta) contemplados en el artículo 1, apartado 1, letra e), de la Directiva 2010/13/UE;

b) servicios de radiodifusión sonora;

c) teletexto (televisivo).

A más abundamiento, el Anteproyecto de Ley NIS establece en su artículo 2 como “Ámbito de aplicación”:

1. Esta ley se aplicará a la prestación de:

a) Los servicios esenciales dependientes de las redes y sistemas de información comprendidos en los sectores estratégicos definidos en el anexo de la Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas.

b) Los servicios digitales, considerados conforme se determina en el artículo 3 e) que sean mercados en línea, motor de búsqueda en línea y servicios de computación en nube.

Si atendemos a la definición que de “servicio digital” hace el anteproyecto en el artículo 3, letra e, este se define como:

[…] servicio de la sociedad de la información entendido en el sentido recogido en la letra a) del anexo de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico

Lo que la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (LSSICE), define como:

a) “Servicios de la sociedad de la información” o “servicios”: todo servicio prestado normalmente a título oneroso, a distancia, por vía electrónica y a petición individual del destinatario.

El concepto de servicio de la sociedad de la información comprende también los servicios no remunerados por sus destinatarios, en la medida en que constituyan una actividad económica para el prestador de servicios.

Son servicios de la sociedad de la información, entre otros y siempre que representen una actividad económica, los siguientes:

1. La contratación de bienes o servicios por vía electrónica.

2. La organización y gestión de subastas por medios electrónicos o de mercados y centros comerciales virtuales.

3. La gestión de compras en la red por grupos de personas.

4. El envío de comunicaciones comerciales.

5. El suministro de información por vía telemática.

No tendrán la consideración de servicios de la sociedad de la información los que no reúnan las características señaladas en el primer párrafo de este apartado y, en particular, los siguientes:

[…]

Por tanto, queda claro que la naturaleza de los servicios afectados por el reglamento de ejecución objeto de este documento son, en un sentido amplio y además de muchos otros, todas las páginas dedicadas al comercio electrónico y la provisión de información al usuario, si esta está enmarcada en una actividad económica del responsable.

Sin embargo, la aplicación de las medidas especificadas supondría un coste desproporcionado e inasequible para un gran número de empresas, por lo que la Directiva NIS, en su artículo 16, apartado 11, “Requisitos en materia de seguridad y notificación de incidentes”, especifica que:

El presente capítulo no se aplicará a las microempresas y pequeñas empresas tal como se definen en la Recomendación 2003/361/CE de la Comisión.

La recomendación 2003/361/CE define en su artículo 2 a las pequeñas empresas y microempresas según los siguientes parámetros:

1. La categoría de microempresas, pequeñas y medianas empresas (PYME) está constituida por las empresas que ocupan a menos de 250 personas y cuyo volumen de negocios anual no excede de 50 millones de euros o cuyo balance general anual no excede de 43 millones de euros.

2. En la categoría de las PYME, se define a una pequeña empresa como una empresa que ocupa a menos de 50 personas y cuyo volumen de negocios anual o cuyo balance general anual no supera los 10 millones de euros.

3. En la categoría de las PYME, se define a una microempresa como una empresa que ocupa a menos de 10 personas y cuyo volumen de negocios anual o cuyo balance general anual no supera los 2 millones de euros.

Dado que el reglamento objeto de esta entrada (2018/151) contiene básicamente el desarrollo del artículo 16 de la Directiva NIS (artículos 2 y 3), cabe concluir que el Reglamento 2018/151 es de aplicación para, entre otras, aquellas empresas de prestación de servicios digitales (comercio electrónico, suministro de información por vía telemática en el marco de una actividad económica, publicidad online, etc.) que:

i) empleen a más de 50 personas o

ii) cuyo volumen de negocios o balance general anual supere los 10 millones de euros.

(Nótese que por las leyes de Morgan, la negación de la conjunción es la disyunción de las negaciones, o ¬(P ∧ Q) equivale a (¬P ∨ ¬Q), lo que tiene importantes implicaciones en la aplicabilidad).

Es decir, un buen número de empresas que probablemente desconocen que están afectados por el reglamento.

Para acabar, aunque no es mi intención analizar el reglamento de ejecución, que es tan corto como larga su descripción (apenas 2 páginas, si obviamos los considerandos), su aplicación (a partir del 10 de mayo) se resume grosso modo en un puñado de puntos:

  1. Implantar un Sistema de Gestión de Seguridad de la Información.
  2. Implantar un Sistema de Gestión de la Continuidad del Negocio.
  3. Implantar un Procedimiento de Gestión de Ciberincidentes.

Lo que, dicho así, parece fácil, pero luego quizá sea algo más trabajoso.

Y hasta aquí, nuestra entrada de hoy. Dar de nuevo las gracias a Ana Marzo, y si alguno de ustedes ve algún error o está en desacuerdo con algo de lo expuesto, estaré encantado de discutirlo e incluso corregir mis palabras, que ya saben que excepto la muerte, nada ni nadie es infalible.

Pasen un buen día.

Deja un comentario