En los últimos tiempos, la Unión Europea está reforzando el marco regulatorio sobre ciberseguridad para hacer frente a la creciente amenaza que nos plantean los ciberataques. Para ello está dotando a los Estados miembros de un marco común especialmente focalizado en la ciberseguridad dirigido a garantizar la ciberresiliencia de los procesos que dan soporte a diferentes servicios esenciales para la sociedad.
La Directiva NIS o Directiva (UE) 2016/1148 fue la primera ley de ciberseguridad de la Unión Europea y ofrecía un marco común para mejorar la resiliencia de las redes y los sistemas de información de la Unión frente a los riesgos de ciberseguridad. Ha demostrado ser una Directiva útil, pero que con el paso de los años también ha evidenciado sus limitaciones ante el incremento de las ciberamenazas y la cada vez mayor dependencia de las soluciones digitales.
Es por ello que, a final del año pasado, la Comisión Europea presentó la nueva estrategia de ciberseguridad de la UE basada en tres aspectos principales:
- La resiliencia, la soberanía tecnológica y el liderazgo;
- La capacidad operativa para prevenir, disuadir y responder;
- La cooperación para promover un ciberespacio global, seguro y abierto.
Esta estrategia contempla, entre otros objetivos, la actualización de la Directiva NIS (2016/1148 de 6 de julio de 2016) por la llamada Directiva NIS2, cuyo borrador ya se encuentra disponible, y cuya aprobación se espera en los próximos meses. Los Estados miembros deberán transponerla a sus legislaciones nacionales, previsiblemente, 18 meses después de su publicación.
Esta revisión de la directiva va a otorgar mayores herramientas de supervisión y ejecución a los controladores, hace especial hincapié en la necesidad de incrementar la ciberseguridad de la cadena de suministro, refuerza la importancia de que la alta dirección de las organizaciones respalde y sean responsables en el cumplimiento de las medidas de ciberseguridad, y mejora la capacidad de intercambio de información entre los distintos actores.
Asimismo, amplía el alcance de la actual directiva añadiendo nuevos sectores en función de su importancia para la economía y la sociedad. Y otra novedad importante es el nuevo marco de sanciones que incluye, ya que indica que la no aplicación de medidas de seguridad pueden tener consecuencias negativas para la ciberresiliencia de las entidades, y por tanto se debe establecer una lista mínima de sanciones administrativas por incumplimiento de las obligaciones de información y gestión de riesgos de ciberseguridad que sea común en todos los Estados miembros.
En la misma línea de la actualización de la directiva NIS, hay otras dos iniciativas dentro de la nueva estrategia de la UE: la propuesta de la Comisión del Reglamento para la resiliencia operativa digital del sector financiero (Digital Operational Resilience Act, DORA), así como la propuesta de Directiva sobre resiliencia de las infraestructuras críticas (CIR).
Por lo que se refiere a DORA, es el marco que establece la Comisión Europea para dar un enfoque común sobre la ciberresiliencia del sector financiero. DORA aplica a las entidades de crédito, proveedores de servicios de criptoactivos, proveedores de suministro de datos, empresas de seguridad y reaseguros, fondos de pensiones de empleo, etc. Pero además, los proveedores terceros esenciales de servicios TIC también deben estar muy pendientes de esta normativa, ya que también van a ser objeto de su regulación y supervisión en el marco de la Unión.
Este Reglamento da las herramientas para regular los siguientes aspectos:
- Gobierno de la Seguridad
- Gestión del Riesgo
- Notificación de incidentes
- Pruebas de resiliencia
- Riesgos de terceros
- Intercambio de información
Por último, cabe señalar que en España la transposición de la Directiva NIS se realizó mediante el Real Decreto-ley 12/2018, y precisamente acaba de ver la luz, con su publicación en el Boletín Oficial del Estado, el Real Decreto de desarrollo de dicha transposición.
Este Real Decreto 43/2021, de 26 de enero, por el que se desarrolla el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información es de aplicación a los servicios esenciales, a los servicios digitales que sean mercados en línea, motores de búsqueda en línea y servicios de computación en la nube. Ya tendremos tiempo de analizar en detalle el impacto que va a tener en las organizaciones este real decreto, ya que son muchos los medios que se han hecho eco de su publicación, pero destacamos que, entre otros aspectos, da cobertura a la responsabilidad que tienen los responsables de seguridad en las organizaciones y establece la obligación de designar un Responsable de Seguridad que sea punto de contacto y de coordinación técnica con la autoridad competente para cada sector.
Además, este real decreto establece la obligación de establecer medidas para el cumplimiento de las obligaciones de seguridad tanto si se trata de redes y servicios propios, como si se trata de proveedores externos. En este sentido deberá tomarse de referencia el anexo II del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica y se deberá formalizar la estrategia de seguridad en una declaración de aplicabilidad, que será suscrita por el Responsable de Seguridad.
En resumen, el real decreto establece la obligación de definir una estrategia de ciberseguridad que establezca un marco normativo, apoyado en el ENS, que además dote de seguridad jurídica a la estructura de ciberseguridad de las organizaciones y las soluciones tecnológicas que se desplieguen, y regula y establece el rol y la responsabilidad del CISO.
Resulta evidente por todo lo comentado anteriormente que la importancia estratégica de la ciberseguridad a nivel europeo es una realidad y la regulación es un hecho al que debemos ir adecuándonos.
