¿En qué consiste la Directiva NIS?

El Consejo de Ministros aprobó el mes pasado un real decreto ley para la trasposición de la Directiva europea sobre ciberseguridad, conocida como Directiva NIS. La Directiva NIS fue aprobada en julio de 2016 por el Parlamento Europeo y por el Consejo de la Unión Europea. Se traduce como una normativa que tiene el objetivo de garantizar un elevado nivel de seguridad de las redes y de los sistemas de información en territorio europeo. La aplicación de las medidas por parte de los estados miembros entraban en vigor a partir del 10 de mayo de 2018 y los estados europeos tuvieron hasta el 9 de mayo de 2018 para realizar la correspondiente transposición a sus ordenamientos jurídicos.

Para entender en qué consiste esta Directiva – que ha contado con un periodo de dos años para su trasposición – y qué implicaciones tiene, hemos hablado con Santiago Arellano, responsable comercial de Abanlex y Delegado de Protección de Datos certificado por AENOR.

¿Cómo afecta esta Directiva?

Esta Directiva, a través de su transposición en un Real Decreto, afecta directamente a dos grupos de entidades: infraestructuras críticas (o lo que es lo mismo, operadores de servicios esenciales) y proveedores de servicios digitales de la sociedad de la información.. La Directiva establece los requisitos mínimos comunes que tienen que cumplirse en materia de seguridad en las redes y de la información que tienen que adoptar las organizaciones.

Entre otras disposiciones, la transposición de la Directiva obliga a la adopción de medidas técnicas y organizativas enfocadas a la ciberseguridad, adecuadas y proporcionadas. Más allá de estas medidas, se establece un protocolo para informar a las autoridades competentes de las brechas de seguridad que sufran y que puedan perturbar el uso normal de este tipo de infraestructuras o de servicios, teniendo en cuenta que cuando hablamos de infraestructuras críticas nos referimos a centrales nucleares, sistemas de abastecimiento de agua, hospitales y otros servicios que se consideran esenciales para el ciudadano.

¿En qué momento se plantea la necesidad de esta Directiva y por qué?

En mi opinión esta regulación llegó con cierto retraso,  ya en 2016 estábamos en un momento en el que el uso de los medios tecnológicos para proveer de servicios a la ciudadanía era cada vez mayor además, en paralelo el incremento de los incidentes de seguridad era cada vez más importante. Recordemos que en ese mismo año también llegó la normativa de Protección de Datos, que siempre pongo en paralelo con la anterior porque, a mi juicio, están casadas.

El uso de dispositivos y tecnologías como Big Data o Cloud, suponen muchas ventajas, pero también lleva aparejados ciertos riesgos. Debemos ser conscientes de que hay “malos” muy malos, por decirlo de alguna manera, cuyo objetivo es atacar esos servicios e infraestructuras para hacer daño a nivel empresarial y a la ciudadanía.

Por otro lado, en la Unión Europea se necesita un marco de gobernanza común, debemos hablar, intercambiar y compartir opiniones y experiencias. Sin una regulación común que nos coordine seremos cada vez más débiles y los “malos” ganarán la partida. La Directiva también va en esa dirección, pretende que se eleve el nivel de seguridad de las redes y sistemas de información de toda la Unión Europea y de que todos los países hablemos el mismo lenguaje y tengamos una misma regulación.

¿Los últimos ataques cibernéticos, así como el ciberterrorismo, ¿han puesto en urgencia a Europa sobre la necesidad de apostar por una regulación como esta?

Casos llamativos y graves como los que salen a la luz pública de manera frecuente ponen en alerta tanto a las personas como a las organizaciones para que tomen conciencia de esta terrible amenaza que, en breve, alcanzará al narcotráfico o la trata de personas. Sabemos que la seguridad absoluta no existe, por muchas medidas de seguridad que adoptemos los “malos” harán mucho más para poder atacar o burlar estas salvaguardas, lo que sí es cierto, es que si todos nos ponemos de acuerdo para tomar soluciones los riesgos serán menores.

Te pongo el ejemplo de las personas individuales en nuestra vida cotidiana. No somos conscientes de que un uso irresponsable del móvil o las redes sociales, podría provocar un incidente a nosotros mismos o a un tercero. A veces, las empresas pequeñas o los autónomos piensan que están exentos de sufrir un ataque. Es probable que no sean el objetivo principal del ataque, pero quizás alguno de sus clientes más importantes sea el blanco, ¿qué ocurrirá cuando esto suceda? pues que perderá a uno de sus clientes relevantes.

Todos los pasos que demos para protegernos de los ataques cibercriminales serán muy importantes y ayudarán a seguir innovando a la sociedad. Las normativas, al final, tienen que ayudar a consolidar con seguridad los avances tecnológicos. Soy consciente de la imposibilidad de que las regulaciones caminen en paralelo a los avances tecnológicos, pero la distancia entre ambos no debe ser muy larga. Con la aprobación de la normativa NIS y del RGPD se ha avanzado mucho en dicho camino.