El pasado 6 de julio la Unión Europea probó la Directiva sobre ciberseguridad, la autora analiza su alcance y su impacto en en el ordenamiento jurídico español.
I. Consideraciones iniciales
El pasado 19 de Julio se publicó de forma oficial en el DOUE[1] la DIRECTIVA (UE) 2016/1148 DEL PARLAMENTO EUROPEO Y DEL CONSEJO, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión[2], más conocida y, en adelante mencionada, como la “Directiva NIS[3]”.
Al respecto, ya en los dos primeros Considerandos de esta Directiva se hace patente la problemática a la que pretende dar respuesta con la misma:
a) Las redes y sistemas de información desempeñan un papel crucial en la sociedad por lo que garantizar su fiabilidad y seguridad son esenciales para el desarrollo de las actividades económicas y sociales, y en particular, para el funcionamiento del mercado interior.
b) Que, a pesar de ello, la magnitud, la frecuencia y los efectos de los incidentes de seguridad se están incrementando de forma exponencial y representan una grave amenaza para el funcionamiento de tales redes y de los sistemas de información pudiendo paralizar o interrumpir la actividad económica, generar considerables pérdidas financieras, menoscabar la confianza del usuario y causar grandes daños a la economía de la Unión.
No hay más que echar un rápido vistazo al último Informe CCN-CERT IA-09/16 de Ciberamenazas 2015/Tendencias 2016[4], para darse cuenta de la importancia y la gravedad de los riesgos a los que, cada día, nos enfrentamos. Así, por ejemplo, el Centro Criptológico Nacional ha gestionado, -según este Informe-, 18.232 ciberincidentes, es decir, un 41% más que en 2014, de los cuales 430 tuvieron una peligrosidad calificada como “muy alta” o “crítica”.
¿Cuáles son las previsiones que el CCN-CERT pronostica para el año 2016?
- Un incremento en la capacidad de los atacantes para sortear los sistemas de seguridad y evitar ser detectados, al tiempo que estima que éstos experimentarán con infecciones que no requieren del uso de un archivo.
- Un mantenimiento de las prácticas de extorsión del objetivo, a través de ataques de Denegación de Servicio Distribuida (DDoS) o del Ransomware/Cryptoware, a tenor de lo rentable que resulta para los cibercriminales (se estima que un 1,5% de las organizaciones afectadas en 2015 satisfizo el rescate solicitado y un 30% en el caso de usuarios particulares).
- Un crecimiento en los ataques al Internet de las Cosas (IoT).
- En general, un importante crecimiento en el número de ciberincidentes que estima será superior a los 25.000, produciéndose un incremento aproximado del 40% en los ciberataques a la Administración y a las empresas de interés estratégico.
A la vista de estos espeluznantes datos, la existencia de una nueva normativa europea que trate de atajar, por primera vez, de una forma amplia, global, coherente, coordinada y a alto nivel (alcanzar y mantener un elevado nivel de seguridad de las redes y sistemas de información) los indicados riesgos en todo la UE, mejorando las capacidades de respuesta de las entidades públicas o privadas afectadas supone, sin lugar a dudas, un avance significativo en la lucha frente al cibercrimen, la mejora de la capacidad de ciber-resiliencia y de su control por parte de las estructuras y entidades afectadas, -objetivo constante de ciberataques-, así como en la coordinación entre los Estados miembros en este ámbito.
II. ¿Qué implica realmente la Directiva NIS y qué se deberá tener en cuenta para su correcta transposición al ordenamiento jurídico español?
La Directiva NIS prevé, con carácter básico, lo que sigue:
1. Cada Estado miembro deberá disponer de una estrategia nacional de seguridad de las redes y sistemas de información[5] que fije los objetivos estratégicos y las medidas concretas que se hayan de aplicar, al tiempo que designar una o más autoridades nacionales competentes, un punto de contacto único a efectos de cooperación transfronteriza con el resto de las autoridades nacionales[6], y puntos CSIRT[7], “computer Security Incident response teams”, esto es, equipos o unidades de respuesta a incidentes de seguridad informática[8] y que deberán actuar de forma coordinada a través de una específica Red.
2. Será de aplicación a los operadores de servicios esenciales, públicos o privados, que se identifiquen por los Estados miembros según lo previsto en el artículo 5 de la Directiva, por relación a los sectores y subsectores previstos en el Anexo II de la misma[9] y siempre que reúnan los criterios establecidos en el apartado 2 de este artículo[10].
3. También será aplicable a los proveedores de servicios digitales indicados en el Anexo III de Directiva (mercado en línea[11], motor de búsqueda en línea[12] y servicios de computación en la nube[13]). Cuando se habla de mercado en línea se incluye al sector del comercio electrónico.
4. Conforme al artículo 18 de la Directiva, un proveedor de servicios digitales se considerará sometido a la jurisdicción del Estado miembro en el que se encuentre su establecimiento principal (cuando su domicilio social se encuentre en ese Estado miembro). Cuando un proveedor de servicios digitales que no está establecido en la Unión, pero, sin embargo, ofrece servicios de los que figuran en el anexo III en la UE, designará un representante, que se deberá establecer en uno de los Estados miembros en los que se ofrecen tales servicios. En estos casos, el proveedor de servicios digitales se considerará sometido a la jurisdicción del Estado miembro en el que se encuentre establecido su representante.
5. Con carácter general, los Estados miembros deberán velar por que tales operadores y proveedores adopten las medidas técnicas y organizativas adecuadas y proporcionadas para gestionar los riesgos existentes para la seguridad de las redes y sistemas de información que utilizan en sus operaciones, o en la oferta de servicios en la UE, respectivamente. También velarán porque las entidades sujetas a la Directiva notifiquen sin dilación indebida a la autoridad competente o al CSIRT los incidentes que tengan efectos significativos en la continuidad de los servicios que prestan (sistema de notificación obligatoria de incidentes). Será posible, previa consulta a la entidad sujeta a la Directiva que corresponda, que la autoridad competente o el CSIRT informe al público sobre ciertos incidentes cuando la concienciación pública sea necesaria para evitar otro incidente en el futuro, o para gestionar aquél que se hubiera producido. También será posible que tales entidades exijan, en el caso de los proveedores de servicios digitales, que sean éstos quienes informen públicamente en los mismos casos indicados con anterioridad o, incluso, cuando ello resulte de interés público (arts. 14.6 y 16.7 de la Directiva).
6. A fin de determinar la importancia de los efectos de un incidente se atenderá, según los casos, a parámetros como el número de usuarios afectados, la duración del incidente o la extensión geográfica, con respecto a la zona afectada por el incidente, el grado de perturbación de funcionamiento del servicio e, incluso, el alcance del impacto sobre las actividades económicas y sociales.
7. Al margen del sistema de notificación obligatoria al que alude el apartado anterior, ello no es óbice para que las entidades que no hayan sido identificadas como operadores de servicios esenciales, o no sean proveedores de servicios digitales puedan, de forma voluntaria, notificar los incidentes que tengan efectos significativos en la continuidad de los servicios que prestan (sistema de notificación voluntaria de incidentes). Cuando tramiten las notificaciones, los Estados miembros actuarán de conformidad con el procedimiento establecido en el artículo 14 de la Directiva. En todo caso, la notificación voluntaria no dará lugar a la imposición a la entidad notificante de obligaciones a las que no estaría sujeta de no haberse producido dicha notificación.
8. Se prevé un régimen sancionador que deberá ser determinado por cada Estado miembro debiendo ser, en todo caso, sanciones efectivas, proporcionadas y disuasorias. Este régimen deberá ser notificado a la Comisión Europea lo más tardar el 9 de mayo de 2018, fecha máxima en la que los Estados deberán adoptar y publicar las disposiciones internas para dar cumplimiento a la Directiva NIS.
III. Algunas conclusiones preliminares
Resulta previsible que esta nueva normativa europea conllevará, finalmente, la aprobación de cierta normativa nacional que transponga al ordenamiento jurídico español su contenido, de forma que se garantice el nivel requerido por aquélla desde la perspectiva de la seguridad de las redes y de los sistemas.
Del mismo modo es más que posible que la Directiva NIS pueda implicar una modificación o modulación de la actual normativa estatal de seguridad nacional, -que se respeta a tenor de lo previsto en el artículo 1.6 de la Directiva-, de la relativa a las infraestructuras críticas, o la referente a los servicios de la sociedad de la información y del comercio electrónico, entre otras.
Asimismo, la actual Estrategia Nacional de Ciberseguridad deberá adecuarse a su contenido legal, designándose las autoridades, puntos de contacto y centros de respuestas necesarios, aunque pueda corresponder a autoridades ya existentes, lo que implicaría, en este último caso, como mínimo, una reformulación de la actual normativa reguladora de las mismas.
Por último, como ya se conoce, por lo que concierne a la normativa protectora de datos personales, deberá existir una coordinación entre la adaptación del nuevo Reglamento europeo General de Datos Personales (RGPD)[14] a la vigente legislación española y la transposición interna del contenido de la Directiva NIS en todo aquello que pueda afectar o concernir al tratamiento de datos personales (incidentes o brechas que afectan a información personal, posibilidad de que concurra interés legítimo respecto a ciertos tratamientos de datos[15], etc.). Sin perjuicio de lo anterior, resulta llamativo que, a pesar de tratarse de una norma aprobada con posterioridad al RGPD, sin embargo, se siga haciendo mención en la Directiva NIS a la Directiva 95/46/CE que fue derogada por el RGPD.
[3] Esta norma entrará en vigor el próximo día 8 de agosto (20 días tras su publicación en el DOUE).
[6] Véase el artículo 8 de la Directiva NIS.
[7] Remítase al artículo 9 de la Directiva NIS.
[8] Los incidentes se definen como todo hecho que tenga efectos adversos reales en la seguridad de las redes y sistemas de información (art. 4.1 7 de la Directiva NIS).
[9] En el caso de las administraciones públicas que no hayan sido identificadas como operadores de servicios esenciales, será responsabilidad de los Estados miembros que corresponda garantizar la seguridad de las redes y sistemas de información de aquéllas (véase Considerando 45 de la Directiva NIS).
[10] Según el artículo 5.2 de la Directiva NIS: “(…) Los criterios para la identificación de operadores de servicios esenciales a que se refiere el artículo 4, punto 4, son los siguientes:
a) una entidad presta un servicio esencial para el mantenimiento de actividades sociales o económicas cruciales;
b) la prestación de dicho servicio depende de las redes y sistemas de información, y
c) un incidente tendría efectos perturbadores significativos en la prestación de dicho servicio.(…)”.
[11] Según el apartado 17 del art.4 de la Directiva NIS, alude a un servicio digital que permite a los consumidores o a los comerciantes, como se definen respectivamente en el artículo 4, apartado 1, letra a) y letra b), de la Directiva 2013/11/UE del Parlamento Europeo y del Consejo, celebrar contratos de compraventa o de servicios en línea con comerciantes, ya sea en el sitio web del mercado en línea o en un sitio web de un comerciante que utilice servicios informáticos proporcionados por el mercado en línea.
[12] Según el apartado 18 del art.4 de la Directiva NIS, se refiere a un servicio digital que permite a los usuarios hacer búsquedas de, en principio, todos los sitios web o de sitios web en una lengua en concreto mediante una consulta sobre un tema cualquiera en forma de palabra clave, frase u otro tipo de entrada, y que en respuesta muestra enlaces en los que puede encontrarse información relacionada con el contenido solicitado;
[13]Según el apartado 19 del art.4 de la Directiva NIS, alude a un servicio digital que hace posible el acceso a un conjunto modulable y elástico de recursos informáticos que se pueden compartir.
[15] Es interesante conocer a estos efectos el contenido del Considerando 49 del RGPD.