A mediados del año pasado la Unión Europea aprobó la Directiva (UE) 2016/1148, conocida como Directiva NIS, la cual aborda la seguridad de redes y sistemas de información con el objetivo de mejorar la respuesta de las empresas e instituciones ante los incidentes.
Ahora, esta normativa debe ser adaptada por los Estados miembros a sus respectivos ordenamientos jurídicos antes del 9 de mayo de 2018. Sin embargo, esto plantea una serie de interrogantes, algunos de los cuales se intentaron responder en esta mesa debate.
El pasado 19 de julio, el Diario Oficial de la Unión Europea publicó el texto de la Directiva 2016/1148, conocida comúnmente como Directiva NIS; un documento cuya finalidad es establecer unas medidas que garanticen la seguridad de las redes y sistemas de la información en todos los países de la Unión. De esta manera, se crean, por tanto, unos mínimos comunes de protección con la intención de romper con las diferencias actuales entre los Estados en cuanto a la ciberseguridad se refiere. Además, como señaló en su momento el europarlamentario Andreas Schwab, «incrementará la colaboración y el intercambio de información para hacer frente a las crecientes amenazas tecnológicas, especialmente aquéllas que puedan afectar a varios países simultáneamente».
Por tanto, la importancia de esta normativa es enorme, y más si tenemos en cuenta que España deberá incorporarla ahora a su ordenamiento jurídico. Precisamente, para conocer mejor lo que representa esta legislación y de qué forma se puede producir esa adaptación, la revista RED SEGURIDAD, con el patrocinio de la Fundación Borredá, organizó una mesa redonda para debatir sobre este tema con distintos expertos del sector. Lo primero que quedó claro, y fue opinión compartida por todos, es la necesidad que existía de tener una norma europea de estas características. Por ejemplo, para José Valiente, director del Centro de Ciberseguridad Industrial (CCI), «resulta muy positiva, porque va a impulsar mucho la cultura de seguridad en las organizaciones». De igual forma opinó Javier García Carmona, responsable de la consultora Daranorte, para quien la Directiva supone «un paso cualitativo y cuantitativo importante», puesto que «se partía de cero». Rafael Santos, representante de ISMS Forum, indicó que se trata de «un marco de referencia» que establece «los requisitos mínimos para que lo puedan cumplir todos los Estados miembros», comentó durante su intervención.
En general, todos los expertos coincidieron en la idea que resumió Xavier Mitxelena, vicepresidente del Consejo de Administración de S21sec: «Es un primer estadío, una directiva de mínimos para entender la sensibilidad del legislador», explicó.
Ahora bien, más allá de eso, la normativa ha dejado un sabor de boca agridulce entre los presentes en la mesa redonda. Para Pablo Municio, gerente de riesgos IT de Deloitte, «si bien es un buen esfuerzo, es necesario continuar avanzando y concretando aspectos como los requerimientos que afectarán a los operadores de servicios y proveedores TIC. Actualmente se centra más en el modelo de actores y en la construcción de la red de CSIRT [Equipos de Respuesta a Incidentes de Seguridad Informática, por sus siglas en inglés]». Se trata de una afirmación que también comparte García Carmona, de Daranorte: «En este nuevo escenario de regulación se han preocupado en un 80 por ciento más de la parte estructural, con la creación de los distintos mecanismos de ciberseguridad, y han dejado sólo un 20 por ciento para la base, con la definición de operadores, medidas apropiadas en aspectos de seguridad, notificación incidentes, etcétera». De hecho, este profesional echa en falta «un poco más de equilibrio» en este sentido.
Precisamente, el punto de vista del operador estuvo representado a través de Antonio Martínez, responsable de Seguridad Informática de Metro de Madrid. Para Martínez, esta legislación también deja aspectos sin definir desde el punto de vista de los operadores. «Es un tanto ambigua y nos va a suponer muchos esfuerzos para ver cómo pueden converger todas las leyes que hay sobre la mesa», indicó.
De igual forma se pronunció Javier Zubieta, responsable de Desarrollo de Negocio de Ciberseguridad de GMV: «Por un lado, estamos avanzando y haciendo esfuerzos para cumplir la Ley PIC [Ley sobre Protección de las Infraestructuras Críticas]. Ahora hay que adaptar también la Directiva NIS, que se juntará en 2018 con la obligatoriedad para las empresas de cumplir el Reglamento General de Protección de Datos de la UE.
Por tanto, los operadores privados se tendrán que poner las pilas para adaptarse a las tres», explicó.No en vano, las infraestructuras críticas son el ámbito en el que la Directiva NIS afectará más de lleno, tal y como recordó Enrique Polanco, socio director de Global Technology. «Parece que el objetivo de esta legislación es crear normativa para que las compañías de estos sectores reporten sus incidentes. Habrá que ver cómo se transpone al ordenamiento jurídico español», observó. Porque, a juicio de Polanco, hay diferencias entre la Ley PIC y la Directiva NIS en determinados conceptos y en los sectores que se pueden ver afectados.
Somos una compañía especializada en Seguridad, Ciberseguridad e Inteligencia empresarial, que mediante los últimos avances tecnológicos, garantizamos la seguridad y confianza que nuestros clientes necesitan.