¡Pide presupuesto en 2 min! ✓
CiberseguridadGlosario

Directiva NIS ¿Qué es?

6 Mins read

La Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión, es lo que se conoce como Directiva NIS (acrónimo de Network and Information Systems) o bien, Directiva SRI (Seguridad de las Redes y de la Información).

¿Por qué se adopta esta Directiva? Para poder impulsar el Mercado Único Digital dentro del marco europeo para desarrollar e implementar una estrategia de ciberseguridad. Hasta ahora, existían grandes diferencias entre los distintos Estados Miembros de la Unión Europea en cuanto a protección, lo que suponía ser una causa de desigualdad para las empresas y los usuarios.

ciberseguridad en el boe

Con la Directiva se pretende fomentar una cultura de ciberseguridad (en todos los sectores) colaborando entre sí los países de la Unión y, gestionando así todos aquellos riesgos a los que se exponen las redes y los sistemas de información.

La Comisión Europea, al comprobar que España debía haber realizado la transposición de la Directiva NIS antes del 9 de mayo de 2018, requirió a España para que así lo hiciera mediante el procedimiento de infracción nº2018/168. De ahí que el Gobierno únicamente pudiera salvar esta situación mediante la fórmula de “Real Decreto-Ley”, que en su exposición de motivos refiere lo siguiente:

“queda justificada por la doctrina del Tribunal Constitucional, que, en su Sentencia 1/2012, de 13 de enero, ha avalado la concurrencia del presupuesto habilitante de la extraordinaria y urgente necesidad del artículo 86.1 de la Constitución, cuando concurra el retraso en la transposición de directivas”

Relación de la Directiva NIS con el Esquema Nacional de Seguridad

Lo que se buscaba al aplicar la transposición de la Directiva NIS era impulsar el desarrollo del mercado interior mediante la mejora de la seguridad existente en las redes y sistemas de información (que son lo que sustentan a todos aquellos servicios esenciales y servicios digitales existentes).

Para ello, se están equiparando las medidas de la Directiva NIS (es decir, el desarrollo) con el Esquema Nacional de Seguridad (ENS).

Esto se va a ver reflejado en un módulo de medidas adicionales del ENS que se orientan al efectivo cumplimiento de la Directiva NIS. Este módulo que se denomina NIS-ENS, va a facilitar que se cumplan los requisitos de ambas al incorporarse nuevas medidas a las que ya existían previamente dentro del ENS.

esquema nacional de seguridad boe

Además, resulta muy necesario hacer mención a la Ley PIC 8/2011, que fue complementada por el Real Decreto 704/2011. La misma, define cuáles son las infraestructuras críticas: aquellas cuyo funcionamiento es indispensable y no permite soluciones alternativas, por lo que su perturbación o destrucción causaría un impacto de consideración grave sobre los servicios esenciales.

La Directiva NIS reconoce a INCIBE-CERT como equipo de referencia en España en respuesta ante cualquier incidente de seguridad para ciudadanos y empresas. El mismo deberá coordinarse con el resto de los equipos nacionales e internacionales para mejorar la eficacia en la lucha contra los ciberataques.

Operará juntamente con el CNPIC (Centro Nacional de Protección de Infraestructuras Críticas y Ciberseguridad) del Ministerio del Interior.

A raíz de la aprobación del Real Decreto-Ley, INCIBE pasa a tener por primera vez competencias públicas y determinadas por ley.

Nuestras ventajas

✓ Gestión clara y eficaz

✓ Presupuesto adaptado a tus necesidades

✓ Documentación accesible desde panel de usuario

✓ Garantía absoluta adaptación a la LOPDGDD

✓ Asesoramiento especializado

¡Pídenos presupuesto sin compromiso!




Principales medidas directiva NIS

  • Todos los países que forman parte de la Unión Europea, están obligados a adoptar una Estrategia Nacional de Seguridad acerca de las redes y sistemas de información, porque como indicamos anteriormente, ha existido una gran diferencia entre los Estados Miembros.
  • Para crear esa estrategia común, se ha de crear un grupo de cooperación que posibilite que se produzca un intercambio de información entre los países.
  • Se ha de crear también una red de Equipos de Respuesta a Incidentes de Seguridad Informática (red CSIRT) con el fin de que se agilice esa cooperación.
  • Todas aquellas entidades (públicas o privadas) que presten servicios esenciales (como son el energético, financiero, salud, etc.) y proveedores de servicios digitales (motores de búsqueda, comercio electrónico, redes sociales, web mail, etc.) que dependan de redes y sistemas de información, habrán de contar con ciertas estrategias de seguridad.
  • En cada Estado Miembro, las autoridades nacionales tendrán obligaciones en materia de seguridad de redes y sistemas de información.

Objetivos UE

Al entender que las redes y los sistemas de información constituyen un papel fundamental en la sociedad y, en concreto para el mercado interior, nace esta Directiva. Hoy en día, al haber crecido de forma exponencial el uso de la tecnología, los incidentes en materia de seguridad se producen de manera constante. Este es el motivo por el cual se fijan unos criterios en materia de desarrollo de capacidades y planificación, intercambio de información, cooperación y seguridad.

estrategia nacional de seguridad

Estrategia de seguridad y directiva NIS

La ciberseguridad viene regulada en el BOE, concretamente se denomina “Código de Derecho de la Ciberseguridad” del INCIBE. ¿En qué consiste? Es la primera medida que se puede tomar para prevenir la ciberdelincuencia. De ahí surge el interés de las políticas europeas y de las políticas nacionales en habilitar medios de protección y lucha frente a ellos, para poder alcanzar una serie de objetivos.

Las manifestaciones de la ciberdelincuencia, se pueden resumir en: crecimiento de tácticas de guerra cibernética y de ciberespionaje; se producen más ataques y son mucho más fuertes que antes; la privacidad va a estar en el punto de mira; gran volumen de “ransomware” (se trata de un software malicioso que primero infecta los dispositivos y posteriormente los bloquea pidiendo un rescate para poder recuperar el control sobre el mismo) que previsiblemente van a propagarse aún más; mayor ataque a dispositivos móviles. La causa de estas manifestaciones deriva de que se utilizan de forma masiva las TIC (Tecnologías de la Información y las Comunicaciones).

En relación a estas cuestiones, el INCIBE también ha publicado una Guía sobre las tecnologías biométricas aplicadas a la ciberseguridad, con técnicas que pueden ayudar en ocasiones, a proteger dispositivos, sistemas y operativos, de ataques externos relacionados con la ciberdelincuencia.

Acciones

Por su parte, las estrategias o acciones que nos indica la NIS, se resumen en:

  • La adopción de una estrategia en materia de ciberseguridad con una autoridad competente al respecto.
  • La creación de mecanismos de cooperación para intercambiar la información acerca de la Unión Europea.
  • Informar a las autoridades nacionales sobre dichas estrategias y mecanismos.

Sí que cabe resaltar que las empresas multinacionales como pudieran ser Facebook, Google, Dropbox, etc., no parecen estar muy por la labor de notificar acerca de las brechas de seguridad que hayan llegado a sufrir porque entienden que les va a perjudicar gravemente a su reputación. Si bien es cierto que esto pudiera ocurrir, resulta conveniente indicar que estos inconvenientes que resaltan de nuestra Directiva europea, ya lo aplican en sus países de origen, en los que están obligados a informar a las autoridades sobre todas aquellas incidencias que sufran.

transposicion directiva nis españa

A esta posible afectación a la reputación empresarial, la NIS planea sancionar con multas a todas aquellas empresas que extravíen datos de sus usuarios, obligándoles de este modo a guardar un cuidado extremo con las medidas de seguridad con el fin de conservar esa información sensible.

Afectados

Importante indicar que también se encuentran afectados por la NIS todos aquellos “facilitadores de los servicios de la sociedad de la información”, ya que se encuentran obligados a informar acerca de cualquier problema de seguridad, o incumplimiento en esta materia que se pudiera presentar siempre que afecte de manera significativa a la continuidad de servicios críticos y suministro de bienes a una autoridad nacional.

A título meramente informativo, nos gustaría destacar que el número de usuarios de Internet en el mundo ha crecido un 9,1% y actualmente la cifra asciende a los 4.388 millones, así lo afirma el informe de We Are Social y Hootsuite de ahí que tengamos que crear estrategias y aplicar medidas de ciberseguridad para poder mantener todos nuestros datos seguros y, en caso de externalizar estos servicios se debe tener observar que sea una entidad que ofrezca un mínimo de garantías.

Si necesitas asesoramiento personalizado, puedes contactarnos en el teléfono 91 489 64 19 o en el correo electrónico lopd@atico34.com.

Nuestras ventajas

✓ Gestión clara y eficaz

✓ Presupuesto adaptado a tus necesidades

✓ Documentación accesible desde panel de usuario

✓ Garantía absoluta adaptación a la LOPDGDD

✓ Asesoramiento especializado

¡Pídenos presupuesto sin compromiso!




Related posts
Ciberseguridad

BadPower, el virus que quema tu móvil mientras lo cargas

3 Mins read
En las últimas fechas ha saltado la noticia de la aparición de un nuevo virus que afecta a los teléfonos móviles. Este…
Glosario

Economía sumergida. Definición, causas y consecuencias

10 Mins read
Existen actividades de carácter financiero que se escapan al control del Estado y que afectan directamente al Producto Interior Bruto del país….
Glosario

¿Qué es el curriculum oculto y cuál es su importancia en la enseñanza?

13 Mins read
El plan de estudios visible es lo que se nos dice que enseñemos: matemáticas, ciencias, idiomas, etc. Pero hay mucho más que…

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y e contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.