La ley NIS en España trae todo tipo de novedades. Su llegada tratará de mejorar la ciberseguridad en las empresas. Y es que es precisamente el aumento de la delincuencia en la red lo que ha contribuido a su creación, conllevando mayores obligaciones para las compañías. Conocer qué novedades trae es esencial tanto para ofrecer un buen servicio a los clientes como para evitar problemas legales.
Esta ley supone un antes y un después en materia de seguridad en la red. Habrá que tener en cuenta que los plazos para cumplirla pueden resultar muy cortos, y su impacto en la gobernanza de la ciberseguridad en las empresas va a ser alto.
Entrada en vigor de la ley NIS de ciberseguridad en España
El R. D. 43/2021 se encarga de desarrollar el Real Decreto-Ley 12/2018 de seguridad de las redes y sistemas de información. A su vez, este es una transposición de la Directiva (UE) 2016/1148, la cual se conoce como Directiva NIS (network and information systems). Su objetivo es crear un marco seguro en la red que afecta a toda la Unión Europea.
Su ámbito de aplicación incluirá a las empresas de servicios esenciales, que van desde el mantenimiento de las funciones sociales básicas hasta los que velan por el bienestar social y económico de las personas. También tendrán que cumplirla los proveedores de servicios digitales, ya que manejan una amplia variedad de datos sensibles.
Si se tiene en cuenta que las compañías de mayor tamaño operan internacionalmente, la nueva legislación consigue establecer un marco transnacional. Esto, además, trata de evitar daños que puedan afectar en poco tiempo a la vida normal en diferentes países. Hay que destacar que cualquier perjuicio que se llegue a dar en materia de seguridad es relevante. Pueden pararse determinadas actividades económicas, darse pérdidas financieras o robos masivos de datos, entre otros problemas.
Ante esta situación, y dado el papel tan importante que juegan las empresas, no está de más conocer las novedades destacadas. Algunas de ellas traen cambios significativos, como la creación de nuevos cargos, que contribuirán a mejorar la seguridad de los ciudadanos de la Unión Europea al navegar en la red.
Protegerse frente a los ataques maliciosos es algo muy necesario. Su aumento en los últimos años ha sido suficiente como para tomar medidas; de hecho, algunos casos han copado titulares y se han dado tanto en instituciones públicas como privadas. Además, existe una amplia variedad de amenazas que pueden comprometer la seguridad con suma facilidad, por lo que resulta necesaria la creación de un marco en el que las empresas, administraciones y ciudadanos puedan estar debidamente protegidos.
Creación de la figura del responsable de seguridad
Es el encargado de coordinar los esfuerzos en ciberseguridad. Se mantiene en comunicación con las autoridades competentes. De esta forma puede informar con rapidez ante un ataque de cualquier envergadura que se esté produciendo. También facilita la evaluación desde el exterior de las medidas que se estén aplicando o que se vayan a poner en marcha.
Junto a esto, se encargará de elaborar las políticas de seguridad de la empresa, que propondrá ante la directiva. Tendrán que estar alineadas con los preceptos de la ley, y el responsable velará tanto por su aplicación como por el debido cumplimiento de estas.
A la hora de crear las políticas, la norma indica que se tendrá en cuenta el sector de actividad económica, las características propias de la empresa y el modelo de gobernanza en cuanto a ciberseguridad que se haya implantado. El responsable podrá actuar de forma precisa y en atención a las necesidades de la compañía en la que se encuentra.
Creación de una política de gestión de riesgos
Los riesgos en el ámbito de la seguridad en la red son muy altos. Un ataque que se desarrolla con éxito trae consecuencias desastrosas, como una caída de los servicios que estuviera prestando la empresa. Esta política girará en torno a los riesgos que afecten a terceros. Un ejemplo de riesgo de este tipo es el robo de datos, algo relativamente usual; pues bien, el real decreto obliga a gestionar los datos de forma efectiva para tratar de impedir que llegue a producirse un robo.
Habrá que establecer de forma clara cómo se enfrentarían, reducirían o resolverían los problemas si se llegaran a producir. Gracias a esta política la empresa contará con una guía que la ayudará a solventar y gestionar los riesgos de forma más eficiente.
Adopción de medidas adecuadas para los sistemas y redes de información
Cada sistema y red tienen un funcionamiento particular, al cual es necesario adaptarse. Habrá que realizar un análisis exhaustivo del papel que juega la empresa respecto a los sistemas y redes, cómo realiza su gestión y otras situaciones importantes. No se trata de elaborar una declaración de medidas sin más, sino de ponerlas en marcha de forma eficaz.
Adaptarse a los nuevos requisitos que incorpora la ley será fundamental, junto con buscar medidas que resulten eficaces. Antes las empresas solo tenían que crear un documento, sin mayores implicaciones… Pero ahora pasarán a desarrollar toda una serie de disposiciones que tendrán que aplicarse llegado el caso, y siempre de acuerdo con la legislación vigente.
Para lograr la implantación de unas medidas adecuadas, se recomienda el uso del ENS (Esquema Nacional de Seguridad). Eso sí: no es el único que es posible adoptar, ya que la norma también menciona otros estándares reconocidos internacionalmente. Servirán de utilidad para establecer unos criterios de seguridad adecuados y proporcionarlos en las redes y sistemas de información correspondientes. Las entidades públicas están obligadas a utilizar el ENS, algo que también tendrán que hacer los ciudadanos cuando tengan que relacionarse con la Administración.
Certificación del cumplimiento de la ley
La ley NIS de ciberseguridad incluye la aparición de un certificado de cumplimiento. Este requerirá que previamente seapruebe el esquema de seguridad que haya desarrollado la empresa. El certificado se otorgará tras una revisión por parte de la autoridad competente, y con él se pretende certificar que la ley es tenida en cuenta y que las medidas se ajustan al marco que propone.
Para ahorrar tiempo y recursos, en caso de que la revisión llevada a cabo se demore, la autoridad puede exigir el informe de una auditora externa. Esto seaplicará sobre aquellos esquemas de seguridad que se muestren demasiado complejos, lo que podría implicar la imposibilidad de su aplicación. La razón de que una auditora externa e independiente tenga que realizar las labores de revisión es garantizar la imparcialidad de los resultados.
De este modo se evitarán los fraudes o infracciones de la ley, que podrían traer consigo consecuencias desastrosas. Un esquema de seguridad vacío de contenido, creado solo porque la normativa lo dicta, y desprovisto de valor, resultaría problemático. Gracias a la ley NIS se evitan este tipo de situaciones, y se fomenta la creación de estructuras sólidas que puedan resolver ataques en muy poco tiempo.
Política y protocolo de notificaciones a la autoridad competente
El objetivo es crear notificaciones sencillas y ágiles para evitar que los problemas se agraven. Los criterios que se deberán seguir están definidos por la Instrucción Nacional de Notificación y Gestión de Ciberincidentes aprobada en el real decreto. Este explicita que se deberán tener en cuenta diferentes aspectos legales y de comunicación. Así, en caso de que se dé una vulneración de la seguridad, la autoridad estará al tanto en el menor tiempo posible. Estas políticas garantizan, por tanto, una respuesta coordinada y rápida.
Los incidentes, en caso de que se produzcan, tendrán que remitirse al CCN-CER, que es una entidad de ámbito público y coordinadora nacional por designación. Ofrecerá respuestas técnicas ante casos de especial gravedad que requieran de una contestación coordinada. También existe el INCIBE-CERT, un organismo encargado de recibir las comunicaciones de los operadores críticos y los proveedores de servicios digitales no públicos. Ayudará a los individuos particulares y las entidades privadas. Junto a estos, en casos de necesidad especial o militar, entrará en acción el ESP-DEF-CERT, perteneciente al Ministerio de Defensa.
Obligaciones de seguridad para terceros
La política de seguridad tendrá que contener, de forma obligatoria, una mención a la gestión de terceros. Es un nivel de responsabilidad impuesto a todas las compañías. Esto afecta especialmente a los proveedores de redes y sistemas informáticos, quienes deberán tomar las medidas necesarias para cumplir con la legislación. Algo similar ocurre con la aplicación del GDPR (Reglamento General de Protección de Datos de la Unión Europea).
Se busca así crear una seguridad sólida y que incluya a todos aquellos actores relacionados con las redes. De esta forma se conseguirán unos mejores resultados y una coordinación mejor articulada.
La ciberseguridad y la legislación NIS tienen una relación muy estrecha. Potenciar la seguridad en las redes es cada vez más importante, ya que el uso de Internet no para de crecer, especialmente en los últimos tiempos, en todo tipo de ámbitos. Y las empresas tienen un papel importante, al prestar multitud de servicios en ella. Gracias a esta normativa se crea un marco clave para garantizar la tranquilidad de todos en este nuevo entorno, aún más digitalizado.
La ley NIS en España garantizará una mejora de la seguridad en la red, lo que permitirá hacer frente a amenazas y situaciones complejas. Habrá que cumplir con numerosos requisitos iniciales, pero el resultado merecerá la pena. Para obtener más información sobre cómo cumplir las nuevas disposiciones de ciberseguridad, recomendamos consultar a nuestros expertos.
Consulta todas tus dudas con nuestro experto de Aon en ciberseguridad:
David Rubio López: david.rubio@aon.es – cyber.solutions@aon.es
Teléfono de contacto: (+34) 91 340 5584
