Directiva NIS: nueva ley europea sobre ciberseguridad

Si hay una fecha sobre privacidad y seguridad de la información de la que todo el mundo habla últimamente es el 25 de mayo de 2018, día en que el Reglamento General de Protección de Datos (RGPD) empezará a ser efectivo en todos los Estados miembros de la Unión Europea.

Sin embargo, hay otra fecha clave para la seguridad informática europea: 9 de mayo de 2018. Ese día, todos los países de la UE tendrán que tener completa la transposición de la Directiva NIS, que no es otra cosa que la Directiva del Parlamento Europeo y del Consejo para garantizar un elevado nivel común de ciberseguridad en la Unión.

La Directiva fue aprobada el 6 de julio de 2016, entró en vigor el 9 de agosto de ese mismo año y, a partir de ahí, se otorgó un plazo de 21 meses para que los Estados pudieran adaptar sus estructuras legales y administrativas a las nuevas obligaciones. Este plazo finalizará el próximo 9 de mayo de 2018.

Pero… ¿en qué consiste exactamente esta Directiva?

La Directiva NIS es la abreviatura de la voz inglesa Network and Information Security, que es el primer gran intento común de la UE para hacer frente a la ciberseguridad. Tal y como define el anteproyecto de ley español, su objetivo es regular la seguridad de las redes y sistemas de información utilizados para la provisión de los servicios esenciales y digitales, así como establecer un sistema de notificación de incidentes”.

¿Cómo afecta a España?

Desde diciembre de 2013, España cuenta con una estrategia nacional de ciberseguridad que sienta las prioridades, objetivos y medidas para alcanzar y mantener un alto nivel de seguridad IT en el territorio.

Según define el anteproyecto de ley sobre la Directiva NIS —publicado el 29 de noviembre de 2017— “esta estrategia seguirá desarrollando el marco institucional de seguridad en la red, el cual estará compuesto, por una parte, por las autoridades públicas competentes y los CSIRT de referencia y, por otra, por la cooperación público‐privada”.

El borrador del anteproyecto sitúa por tanto al CCN-CERT (Centro Criptológico Nacional) como el CSIRT (Computer Security Incident Response Team) de referencia para el sector público y el coordinador nacional para respuestas técnicas en los supuestos de especial gravedad que se determinen.

El Ministerio de la Presidencia y para las Administraciones Territoriales será, a través del CCN-CERT, la autoridad competente en materia de seguridad relativa a los operadores esenciales y proveedores de servicios digitales que no siendo operadores críticos se encuentren comprendidos en el sector público.

¿Cuáles son sus claves?

Además de lo explicado anteriormente, cabe destacar y resumir los aspectos esenciales de la nueva ley europea sobre ciberseguridad.

  • La Directiva NIS supondrá una nueva cultura de la seguridad de la información en todos los ámbitos y sectores de la UE.
  • Los Estados miembros de la Unión tendrán que dictar medidas nacionales para asegurar su cumplimiento.
  • Existirá un grupo de cooperación para dar una respuesta rápida y eficaz a los incidentes (red CSIRT) y permitir el intercambio de información.
  • Se establecerán una serie de condiciones de seguridad para operadores de servicios esenciales y proveedores de servicios digitales.

Si te ha interesado este artículo y quieres seguir profundizando sobre la Directiva NIS, te recomendamos descargar este libro verde gratuito —sólo disponible en inglés— y conocer todo sobre la nueva ley de seguridad IT.

Consigue aquí tu guía esencial en inglés sobre la Directiva NIS >>

Leave a Reply

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.