Audiencia Pública del Anteproyecto de Ley sobre la seguridad de Redes y Sistemas de Información, Directiva NIS

Publicado: 04 Diciembre 2017

Las observaciones a la transposición de esta directiva europea podrán remitirse hasta el 8 de enero de 2018.

El borrador del Anteproyecto sitúa al CCN-CERT como el CSIRT¹ de referencia para el Sector público y como el coordinador nacional de la respuesta técnica en los supuestos de especial gravedad que reglamentariamente se determinen.

El Ministerio de la Presidencia y para las Administraciones Territoriales, a través del Centro Criptológico Nacional, será la autoridad competente en materia de seguridad relativa a los operadores esenciales y proveedores de servicios digitales que no siendo operadores críticos se encuentren comprendidos en el Sector público.

El Ministerio de Energía, Turismo y Agenda Digital ha puesto en audiencia pública, hasta el 8 de enero de 2018, el borrador del Anteproyecto de Ley sobre la seguridad de Redes y Sistemas de Información. Esta ley transpone al Ordenamiento jurídico español la Directiva (UE) 2016/1148, más conocida como Directiva NIS, y su objeto es “regular la seguridad de las redes y sistemas de información utilizados para la provisión de los servicios esenciales² y de los servicios digitales³ y establecer un sistema de notificación de incidentes”.

En este sentido, el borrador del Anteproyecto, en su Capítulo I, establece procedimientos para identificar los servicios esenciales, así como a los principales operadores que prestan dichos servicios y prevé que estos operadores, así como los proveedores de servicios digitales notifiquen los incidentes significativos que sufran y perfila el procedimiento de notificación.

CCN-CERT, coordinador nacional

El artículo 11 de este borrador recoge tres (3) CSIRT de referencia, que se coordinarán entre sí y con el resto de equipos nacionales e internacionales en la respuesta a incidentes y gestión de riesgos. Así, para el Sector público se menciona al CCN-CERT, del Centro Criptológico Nacional. Además, “en los supuestos de especial gravedad que reglamentariamente se determinen y que requieran un nivel de coordinación superior al necesario en situaciones ordinarias, el CCN-CERT ejercerá la coordinación nacional de la respuesta técnica de los CSIRT”.

Los otros dos (2) CSIRT son el INCIBE-CERT para la comunidad que no pertenezca al CCN-CERT, ciudadanos y entidades de derecho privado (operado conjuntamente por el INCIBE y el CNPIC en la gestión de los incidentes que afecten a los operadores críticos) y el ESPDEF-CERT, del Mando Conjunto de Ciberdefensa, que cooperará con los otros dos CSIRT en aquellas situaciones que éstos requieran en apoyo de los operadores de servicios esenciales y, necesariamente, en aquellos que tengan incidencia en la Defensa Nacional.

Autoridades competentes

El documento señala tres (3) autoridades competentes en materia de seguridad (artículo 9 del borrador):

Para los operadores de servicios esenciales, en el caso de que sean, además, operadores críticos, la Secretaría de Estado de Seguridad, del Ministerio del Interior, a través del Centro Nacional de Protección de Infraestructuras y Ciberseguridad (CNPIC)). Si no son operadores críticos, la autoridad sectorial correspondiente por razón de la materia, según se determine reglamentariamente.
Para los proveedores de servicios digitales, la Secretaría de Estado para la Sociedad de la Información y la Agenda Digital, del Ministerio de Energía, Turismo y Agenda Digital.
Para los operadores de servicios esenciales y proveedores de servicios digitales que no siendo operadores críticos se encuentren comprendidos en el Sector público (Ley 40/2015), el Ministerio de la Presidencia y para las Administraciones Territoriales, a través del Centro Criptológico Nacional.

Obligación de notificar incidentes

El Anteproyecto de Ley contempla la obligación de los operadores de servicios esenciales y los proveedores de servicios digitales (artículo 18) de notificar a la autoridad competente, a través del CSIRT de referencia, de los incidentes que puedan tener efectos significativos en dichos servicios.

Las autoridades competentes y los CSIRT de referencia utilizarán una plataforma común para facilitar y automatizar los procesos de notificación, comunicación e información sobre incidentes, de tal manera que los operadores no deban efectuar varias notificaciones en función de la autoridad a la que deban dirigirse.

También, se detalla que los empleados y el personal que notifique sobre dichos incidentes “no podrá sufrir consecuencias adversas en su puesto de trabajo o con la empresa, salvo en los supuestos en que se acredite mala fe en su actuación”.

En este sentido, el borrador incluye un régimen sancionador que pueden ir desde multas de 100.00 euros para las infracciones leves hasta un millón de euros para las muy graves. No obstante, se decanta por la subsanación de la infracción, antes que el castigo (artículo 39).

CCN-CERT (04/12/2017)

Más información:

Ministerio de Energía, Turismo y Agenda Digital

Borrador del Anteproyecto de Ley

¹ CSIRT (Computer Security Incidente Response Team): equipos de respuesta a incidentes que monitorizan las redes para detectar posibles incidentes, difundir alertas sobre ellos y aportar soluciones para mitigar sus efectos. Este término es comúnmente utilizado en Europa frente al del mismo significado (CERT), registrado en EEUU (y que el CCN-CERT, tiene permiso para su utilización)

² Servicio necesario para el mantenimiento de las funciones sociales básicas, la salud, la seguridad, el bienestar social y económico de los ciudadanos, o el eficaz funcionamiento de las Instituciones del Estado y las Administraciones Públicas, que dependa para su provisión de las redes y sistemas de información.

³ Servicio de la sociedad de la información entendido en el sentido recogido en la letra a) del anexo de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico.

Miembros de