The Transposition of the NIS Directive on the Security of Networks and Information Systems

La transposición de la Directiva NIS sobre seguridad en las redes y sistemas de información.

Jan Neutze, Mar López and Angel León.
Jan Neutze, Mar López and Angel León.
(English version)

On 16 November Fide hosted a session which saw presentations from Jan Neutze, Director of Cybersecurity Policy, Europe, Middle East and Africa (EMEA) at Microsoft and Angel León Alcalde, Adviser Member of the SETSI-Ministry of Industry. The session was moderated by Mar López, Head of the Office for Security and Information Technologies and Communication and Head of Cybersecurity in the Department of National Security-Presidential Cabinet. 

The technological development experienced and adopted by society globally has seen the perfecting and rapid growth of processes and activities developed by citizens, companies, academics, public administration and governments. These advances have been fostered by the commitment of the Institutions: Public Administrations and the investment of the private sector in the framework of the digital economy, including the improvement of technological infrastructure and accessibility to electronic services of all kinds.
In this way, the emerging digital transformation known as Industry 4.0, just as with the Industrial Revolution, has led us to rethink and propose new ways of organising our relationships and our ways of doing things that are now and shall be in the future as common as essential services for society are today.

The model put forward, tied in with unprecedented hyperconnectivity and the use of large dimension spaces where one can operate from any corner of the world in an ever more interconnected way (cyberspace), forces society to continue to adapt to the trends and innovations brought about by the use of technology.

At the same time, this revolution has radically transformed the productive sectors and the borders in which they have developed, leading to the redefinition of industry and the rethinking of business strategies.

Therefore, the almost unlimited opportunities for development that are offered by a hyper connected and exponentially technological world are beyond doubt.

At present, 51% of the world’s population including 315 million Europeans are connected to the Internet. If we add to this the approximately 6 billion mobile devices connected, including essential services (critical infrastructure, Industry 4.0, Internet of Things, Internet of Services, Internet of Data) we must recognize that the Internet offers unprecedented business opportunities.

It is estimated that Germany will invest 40 billion euros a year in Industry 4.0 up to 2020. Moreover, for this same year, it is calculated that over 80% of companies will have digitalized their value chain, with a 20% increase in efficiency.
Considered the greatest engine for the economy and employment, it generates 4.2 billion of total G20 GDP. This would make it the world's 5th most powerful economy ahead of Italy, Japan, the United Kingdom and Russia. It represents approximately 3 times Spain's national GDP.

The perception of cybersecurity and its regulation has evolved gradually over the last two decades. Since 2010, debates surrounding cybersecurity have advanced up until now, with many Member States confronting the challenges of cybersecurity in different ways.

With regard to the EU, the starting point for cybersecurity policy can be identified as the Communication of the Council and the Commission of 2000 (COM/2000/890 final) Creating a Safer Information Society by Improving the Security of Information Infrastructures and Combating Computer-related Crime. Subsequently, the European Parliament approved the Framework Directive on attacks against information systems and harmonisation of criminal law of Member States and cooperation in criminal prosecution (COM (2002) 173). This initiative was complemented by the Budapest Convention on Cybercrime, which was ratified by Spain in 2010. Also in this vein and as part of the European strategy for intelligent, sustainable and integrated growth, as a continuation of the Lisbon Strategy, the Commission adopted the Europe 2020 strategy in 2010.

One of the principal initiatives put forward in this Digital Agenda Strategy and one of the seven pillars of the Europe 2020 Strategy which was born with the main aim of developing a digital single market that could contribute 415 million euros per year to the European economy is to improve competitiveness, create employment and transform our public services.

As a priority for Europe, the development of the digital single market strategy must confront a series of obstacles, including: the fragmentation of digital markets, the lack of interoperability and lack of investment in networks and, particularly, the increase in cybercrime and the risk of low levels of trust in networks.

With respect to this last point, a hyperconnected world comes at a time when we are more vulnerable to threats from cyberspace and harmful or inappropriate use of technology and, therefore, the European online market is increasingly worried about its privacy and cybersecurity.

All measures for the development of a digital single market are aimed at ensuring a secure and reliable digital environment for all the EU.

As for the final objective of the digital single market: “Europe must be prepared for ever more sophisticated digital threats that don't recognise borders” (1).

It was for this reason that, in 2013, the European Union adopted the Cybersecurity Strategy of the European Union: An Open, Safe and Secure Cyberspace. The Cybersecurity Strategy of the European Union established the EU's plans to prevent and respond to disruptions and attacks that might affect telecommunications systems in Europe. For this it sets outs the challenges to be met across five priority areas:
  • Achieving cyber resilience
  • Drastically reducing cybercrime
  • Developing cyber defence policy and capabilities related to the framework of the Common Security and Defence Policy (CSDP)
  • Developing industrial and technological resources for cybersecurity
  • Establishing a coherent international cyberspace policy for the European Union and promote EU core values.
In relation to boosting cyber resilience in the EU, it is stated that both public administrations and the private sector must develop capabilities and cooperate effectively.
  • To counter cyber risks and threats having a cross-border dimension and contribute to a coordinated response in emergency situations.
  • And to strongly support the good functioning of the internal market and boost the internal security of the EU.
  • To make a substantial effort to enhance public and private capacities, resources and processes to prevent, detect and handle cybersecurity incidents.
Along these lines, the Commission has developed a policy on the security of networks and information systems. It created the European Network and Information Security Agency (ENISA) and established that despite progress based on voluntary commitments, there are still gaps across the EU, notably in terms of national capabilities, coordination in cases of incidents spanning across borders, and in terms of private sector involvement and preparedness.

One of the principal measures presented in the strategy is a proposal for a cohesive regulatory framework for cybersecurity with the participation of several governments and companies to prevent jurisdiction problems when it comes to confronting cyberthreats, resolving geopolitical issues, fostering the creation of capabilities and sustaining economic growth. The principal objectives of the NIS directive are: 
  • To establish common NIS minimums on a national scale that force Member States to designate national competent authorities for NIS, create a CERT and ensure its correct functioning and adopt a national NIS strategy and a national cooperation plan in relation to NIS.
  • To establish coordinated mechanisms for prevention, detection, response and mitigation that make the exchange of information and mutual assistance between national authorities possible in relation to NIS. Said authorities shall be held to ensuring appropriate cooperation at EU level on the basis of the EU's NIS cooperation plan, aimed at responding to cyber incidents of a cross-border nature.
  • To increase the preparedness and commitment of the private sector. Given that the majority of networks and information systems are in the hands of the private sector, it is crucial that the sector contributes with a stronger commitment to promoting cybersecurity.
Finally, some countries such as France, the United Kingdom and the Czech Republic have already pronounced on how they have implemented their own application of the NIS directive before its adoption.

There is no doubt that Spain has advanced significantly in the area of Cybersecurity.

The Spanish Government has worked to position cybersecurity as a priority area of National Security (until now an area principally managed from a technical perspective). This is clear in the National Security Strategy, the National Cybersecurity Strategy and, above all, in the National Security Act.

Also, on a par with this, the new system of governance of cybersecurity in Spain has been built. A system based on the participation, coordination and harmonisation of all stakeholders and resources of the State, in public-private partnership and with the participation of the citizens and, of course, with international cooperation also. The fundamental pillars of the system are:
  • The National Security Council: the cornerstone of the entire System and ultimately responsible for it, with the President of the Government at its head.
  • The National Cybersecurity Council, a body of the National Security Council.
  • Development of the National Cybersecurity Plan and the secondary Cybersecurity Plans.
  • National Security Act. The Act declares cybersecurity an area of special interest for National Security and introduces a series of new elements aimed at responding to the new risks and threats of a cross-border and transnational nature we face, such as cyberthreats. 
As published by Jan Neutze in one of his Posts on the Official Microsoft Blog on EU Policy, 2016 was the year in which cybersecurity changed in Europe, going from a conceptual issue to become the concrete base so urgently needed.
EU Directive 2016/1148 (2) of the European Parliament and of the Council of 6 July 2016 is the European cybersecurity directive and the first regulation relating to measures aimed at guaranteeing a high common level of security of networks and information systems in the European Union. This directive constitutes an important step towards meeting the challenge of the threats to Cybersecurity.

From these initiatives it is hoped to anticipate, prevent and respond to incidents which might impede or slow down economic activities or cause damage to infrastructure, the loss of user confidence or the interruption of operations of essential systems and services.

"Security failures in networks often have a cross-border dimension and, therefore, affect more than one Member State. A fragmented protection strategy makes us vulnerable and represents a serious risk to Europe as a whole. This directive sets common security levels and encourages cooperation between countries, which will help prevent attacks on interconnected infrastructure" (3).

One of the objectives of the directives is to end the fragmentation of cybersecurity systems and the different levels of maturity of Member States to act in a cohesive way in the heart of the European Union, using the principle of collaboration. The ultimate aim is to increase the level of cybersecurity in the EU.

The directive entered into force in August 2016 and Member States will have 21 months to transpose it into law and 6 further months to identify essential operators and services.

The directive differentiates two affected figures: the operators of essential services and the digital service providers.
To better understand the organisations that will come under operators of essential services, two elements included in Article 4 paragraph 4 of the NIS directive must be considered.

Operators of essential serviced may be either public or private entities that provide services in the areas of energy, transport, banking, financial market infrastructure, the health sector, supply and distribution of drinking water and digital infrastructure. In accordance with paragraph 2 of Article 5, Member States must consider entities to be operators of essential services if:
  1. an entity provides an essential service for the maintenance of critical social and / or economic activities;
  2. the provision of this service is dependent upon the network and information systems; and
  3. an incident would significant harmful effects on the provision of this service.

Therefore, operators of essential services must "adopt the appropriate technical and organisational measures proportionate to managing the risk and the security of the network and the information systems used in their operations". Moreover, these operators must also "adopt the appropriate measures to prevent and minimize the impact of incidents on the IT systems used to provide the essential services, in order to guarantee to the continued provision of these services. Moreover, they must "notify the competent authority or CSIRT without delay of any incidents that may have a significant impact on the continued provision of the essential service they provide".

In terms of digital service providers (online commerce, search engines and cloud services (Annex III)) they must also adopt measures to guarantee the security of the infrastructure and must inform the authorities in the event of incidents. The requirements of security and notification are, nevertheless, less strict for these operators.

In terms of exceptions outside the ambit of application, micro and small enterprises are excluded. An exemption may also be afforded where there exist sector-specific EU regulations or legislation in relation to the security of networks and information systems and where it is considered that the regulatory regime of the EU offers protection that is superior or equivalent to the NIS directive.

Digital service providers face less strict security obligations and must "notify the competent authorities or the CSIRT without undue delay of any incident which may have a substantial impact on the provision of a service offered within the EU."
Nevertheless the directive states that the following elements must be taken into account:
  • the security of systems and facilities;
  • incident handling;
  • business continuity management;
  • monitoring, auditing and testing;
  • compliance with international standards.
And to achieve its objectives, must:
  • Create a Cooperation Group to support and facilitate strategic cooperation and the exchange of information between Member States and develop confidence and security between them;
  • Create a network of computer security incident response teams (CSIRT network) with the aim of contributing to the development of confidence and security between Member States and the promotion of rapid and efficient operational cooperation;
  • Establish requirements in relation to security and notification for operators of essential services and digital service providers;
  • Establish obligations so that Member States designate national competent authorities, single points of contact and CSIRTs with functions relating to the security of networks and information systems.
The NIS directive establishes the minimum common requirements which Member States must meet in relation to the security of networks and information systems and, among other things, obliges them to:
  • Identify and communicate to the Commission the operators of essential services and digital service providers of the Member States (4);
  • Communicate and notify the Commission of any significant disruptive incidents. The requirement to notify information security incidents to promote a culture of risk management and ensure that information is shared between the public and private sectors. Introduce an incident notification requirement for companies (Article 14)
  • Develop and communicate to the Commission national cybersecurity strategies (article 7);
  • Define a framework of governance (5). Establish the national authorities in relation to the network and information system security (Article 8);
  • Coordinate the European structures so that the directive can be applied.
One of the relevant aspects included in the directive is cooperation and exchange of information, which also obliges Member States to:
  • Cooperate on a national and international scale. This shall be done at the technical level through the creation of the CSIRTS with aim of exchanging information (article 10);
  • At the strategic level with the creation of the Cooperation Group comprised of representatives of the Member States, the Commission and ENISA. (Article 12)
In addition to defining and establishing the legal, regulatory and administrative provisions, on coordination with those who have competency in that area (Artículo 21).

The promotion of a scheme for public-private cooperation such as that provided for in the NIS directive is of unique importance for the purposes of identifying, preventing and mitigating cyberattacks that might affect Europe and Spain. Moreover, and given that this requires cooperation on a national level, the transposition of the directive into law will help implement a national governance model.

On the other hand, the collaboration of the private sector in decisions relation to the transposition of the directive are of special relevance and the process includes public consultation of the sector, transpose the directive with the utmost efficiency and transparency.
The adoption of the NIS directive and its transposition will constitute one of the most important milestones for cybersecurity at a European and global level. Harmonisation, the structures created and the incident management system at European level will, without doubt, boost the digital market in the Eurozone, establishing a series of minimum capabilities for all Member States who must adapt their models of governance to the European standard.
This challenge must be approached as a great opportunity to provide a boost at national level and to allow the coupling and synchronisation of this new structure to put it at the service of the National Security System.

(1) Andrus Ansip, European Commission Vice-President for Digital Single Market
(3) Andreas Schwab
(4) Energy transport, banking, financial market infrastructure, the health sector, supply and distribution of drinking water, digital infrastructure and digital service providers (online market, search engines and cloud computing services ) and public administrations who have been identified as operators of essential services. Micro and small enterprises which are digital service providers are excluded as are companies subject to the requirements of the public communication networks, or trust service providers (electronic signature, time stamps, etc.).
(5) Designate one or more COMPETENT AUTHORITIES who shall supervise the application of the directive on a national scale and are empowered to adopt national directives on incident notification. Designate a national SINGLE POINT OF CONTACT responsible for coordinating issues related to the security of network and information systems and cross-border cooperation at Union level. Designate one or several computer security incident response teams (CSIRTs), responsible for managing incidents.


(Versión en español)

El pasado 16 de noviembre se celebró en Fide una sesión que contó con la intervención como ponentes de Jan Neutze, Director of Cybersecurity Policy, Europe, Middle East and Africa (EMEA) de Microsoft y de  Angel León Alcalde, Vocal Asesor de la SETSI-Ministerio de Industria, bajo la moderación de Mar López, Jefa de la Oficina de Seguridad y Tecnologías de la Información y Comunicación y Responsable de Ciberseguridad en el Departamento de Seguridad Nacional-Gabinete de la Presidencia del Gobierno. 

El desarrollo tecnológico experimentado y adoptado por la sociedad a nivel global, ha favorecido el perfeccionamiento y rapidez de crecimiento de los procesos y actividades desarrollados por los ciudadanos, las empresas, la academia, las administraciones públicas y los gobiernos. Este avance, se ha visto fomentado por la apuesta realizada por parte de las Instituciones; las Administraciones Públicas y la inversión del sector privado en el marco de la economía digital, incluida la mejora de las infraestructuras tecnológicas y la accesibilidad a los servicios electrónicos de toda clase.

De esta manera, la transformación digital surgida conocida como la Industria 4.0,  tal y como ocurrió con la revolución industrial, ha llevado a pensar y plantear nuevas formas de organizar los medios de relación y la forma de hacer las cosas, con tan amplio alcance, que su uso actual y futuro es y será tan habitual como lo son hoy los servicios esenciales para la sociedad.

El modelo que se plantea, unido a una hiperconectividad sin precedentes y el uso de un espacio de grandes dimensiones donde, se puede operar desde cualquier parte del mundo y de manera cada vez más interconectada (ciberespacio), hace que la sociedad deba seguir adaptándose a las tendencias y a las innovaciones que presenta el uso de la tecnología.

A su vez, esta revolución ha transformado radicalmente los sectores productivos y las fronteras en las que se desarrollan, lo que ha forzado a la redefinición de la industria y el replanteamiento de las estrategias empresariales.

Por tanto las oportunidades de desarrollo casi ilimitadas que ofrece un mundo hiperconectado y exponencialmente tecnológico son indiscutibles.

Actualmente el 51% de la población mundial y de estos, 315 millones de europeos, están conectados a Internet. Si a esto le sumamos la suma aproximada de 6000 millones de dispositivos conectados entre los que se encuentran servicios esenciales; infraestructuras críticas; Industria 4.0 Internet de las cosas; internet de los servicios; internet de las personas; internet de los datos… debemos plantearnos que Internet ofrece unas oportunidades de negocio sin precedente.

Se estima que Alemania invertirá 40 mil millones de euros al año hasta 2020 en Industria 4.0. Además, para ese mismo año, calcula que más del 80% de las empresas habrán digitalizado su cadena de valor, con aumento de la eficiencia del 20%.
Considerada como el mayor motor económico y de empleo, genera 4,2 billones de dólares del producto bruto interno total del G20, esto supondría ser la 5ª potencia mundial por delante de Italia, Japón, Reino Unido o Rusia. Lo que para España significa aproximadamente 3 veces el PIB nacional.
La percepción de la ciberseguridad y su regulación ha evolucionado gradualmente a lo largo de las dos últimas décadas. Desde 2010, los debates sobre la ciberseguridad han avanzado hasta ahora, de modo que muchos Estados miembros han afrontado de diversa manera los retos de la ciberseguridad.

En lo que se refiere a la UE, el  punto inicial de la política sobre ciberseguridad se puede fijar en la Comunicación conjunta del Consejo y de la Comisión de 2000 (COM/2000/890 final), para la creación de una sociedad de la información más segura mediante la mejora de la seguridad de las infraestructuras de información y la lucha contra los delitos informáticos. Posteriormente el Parlamento aprobó la Directiva marco para la lucha contra los ciberataques y la armonización del derecho penal de los estados miembros y cooperación en la persecución penal, COM (2002) 173. Esta iniciativa se complementó con el Convenio de Budapest sobre la Ciberdelincuencia, que fue ratificado por España en el 2010. En esta línea y como parte de la estrategia Europea para el crecimiento inteligente, sostenible e integrador en 2010 y, como continuación de la Estrategia de Lisboa, la Comisión adopta la Estrategia Europa 2020.

Una de las principales iniciativas planteadas en esta Estrategia de la Agenda Digital uno de los siete pilares de la Estrategia Europa 2020 que nace con el objetivo principal de desarrollar un mercado único digital que pueda contribuir con 415 millones de euros al año a la economía europea, aumentar su competitividad crear empleos y transformar nuestros servicios públicos.
Pasando ésta a ser una prioridad para Europa, el desarrollo de la estrategia del mercado único digital tiene que hacer frente serie de obstáculos entre los que se encuentran: la fragmentación de los mercados digitales; la falta de interoperabilidad; la ausencia de inversión en las redes; entre otras, y particularmente el incremento de la ciberdelincuencia y el riesgo de escasa confianza en la redes.

Respecto a este último aspecto, un mundo hiperconectado a la vez hace que seamos más vulnerables a las amenazas procedentes del ciberespacio y del manejo nocivo o inadecuado de la tecnología, por tanto, el mercado europeo en línea tiene una creciente preocupación por su intimidad y ciberseguridad.

Todas las medidas para el desarrollo del mercado único digital van dirigidas a velar por un entorno digital seguro y fiable en toda la UE.

Si bien, el objetivo final es el mercado común digital: “Europa tiene que estar preparada para parar amenazas digitales cada vez más sofisticadas y que reconocen frontera alguna (1).

Para ello, en 2013 la Unión Europea adopta la Estrategia de ciberseguridad de la Unión Europea: Un ciberespacio abierto, protegido y seguro. La estrategia de ciberseguridad de la UE establece los planes de la UE para prevenir y responder a las perturbaciones y ataques que pudieran afectar a los sistemas de telecomunicaciones en Europa. Para ello, plantea afrontar los desafíos en cinco ámbitos prioritarios:lograr una mayor resistencia cibernética
  • reducir drásticamente la ciberdelincuencia
  • impulsar políticas y capacidades en materia de ciberdefensa relacionadas con la Política Común de Seguridad y Defensa (PCSD)
  • desarrollar los recursos industriales y tecnológicos en materia de ciberseguridad
  • establecer una política internacional coherente de la UE sobre el ciberespacio y promover los valores esenciales de la UE.
En la prioridad relativa al impulso de la ciberresiliencia en la UE, expone que tanto las administraciones públicas como el sector privado deben desarrollar capacidades y cooperar efectivamente.
  • En línea para luchar contra los riesgos y amenazas a la ciberseguridad que tienen una dimensión transfronteriza y contribuir a una respuesta coordinada en situaciones de emergencia.
  • Y para apoyar firmemente el buen funcionamiento del mercado interior e incrementar la seguridad interna de la UE.
  • Dedicar mayores esfuerzos a impulsar las capacidades, recursos y procedimientos públicos y privados para prevenir, detectar y gestionar los incidentes de ciberseguridad.
En esta línea, la Comisión desarrolla una política de seguridad de las redes y de la información. Entre sus acciones crea la Agencia Europea de Seguridad de las Redes y de la Información (ENISA) y establece que, pese a los avances logrados gracias a los compromisos voluntarios, aún se observan ciertas lagunas en la UE, especialmente en lo tocante a las capacidades nacionales, la coordinación ante incidentes que traspasan las fronteras, y la preparación y participación del sector privado.

Una de las principales medidas presentadas en la estrategia es una propuesta de marco regulatorio global de ciberseguridad y cohesionado en el que participen múltiples gobiernos y empresas para evitar problemas jurisdiccionales a la hora de hacer frente a las ciberamenazas, resolver los problemas geopolíticos, fomentar la creación de capacidades y sostener el crecimiento económico. La Directiva NIS, cuyos objetivos principales son:
  • Establecer requisitos mínimos comunes de SRI a escala nacional que obligarían a los Estados miembros a designar autoridades nacionales competentes en materia de SRI, crear un CERT y velar por su correcto funcionamiento, y adoptar una estrategia nacional de SRI y un plan nacional de cooperación en materia de SRI.
  • Establecer mecanismos coordinados de prevención, detección, respuesta y atenuación que hagan posible el intercambio de información y la asistencia mutua entre las autoridades nacionales competentes en materia de SRI. Se instará a dichas autoridades a velar por una cooperación apropiada a escala de la UE sobre la base de un plan de cooperación de la Unión en materia de SRI, destinado a responder a los ciberincidentes de dimensión transfronteriza.
  • Aumentar la preparación y el compromiso del sector privado. Dado que la titularidad y la explotación de la gran mayoría de las redes y los sistemas de información están en manos del sector privado, resulta crucial conseguir que dicho sector contribuya con mayor empeño a fomentar la ciberseguridad.
Por último, algunos países como Francia, Alemania, Reino Unido o la Republica Checa ya se han pronunciado sobre cómo han adoptado su propia aplicación de la Directiva NIS antes de su adopción.

No cabe duda que España ha avanzado significativamente en materia de Ciberseguridad.

Desde el Gobierno de España se ha trabajado en posicionar la ciberseguridad como uno de los ámbitos prioritarios para la Seguridad Nacional (hasta el momento un ámbito tratado principalmente desde el aspecto técnico). Así queda patente en la  Estrategia de Seguridad Nacional, la Estrategia de Ciberseguridad Nacional y, sobre todo, la Ley de Seguridad Nacional.

Así también, y a la par, se ha construido un nuevo sistema de gobernanza para la ciberseguridad en España. Un sistema basado en la implicación, coordinación y armonización de todos los actores y recursos del Estado, en la colaboración pública privada y en la participación de la ciudadanía y, por supuesto, en la cooperación internacional. Los pilares fundamentales del sistema son:
  • El Consejo de Seguridad Nacional: piedra angular de todo el Sistema y responsable último del mismo, con el Presidente del Gobierno al frente del mismo.
  • el Consejo Nacional de Ciberseguridad, órgano dependiente del Consejo de Seguridad Nacional.
  • desarrollo del Plan Nacional de Ciberseguridad y los Planes Derivados de Ciberseguridad.
  • Ley de Seguridad Nacional. La Ley declara la ciberseguridad como un ámbito de especial interés para la Seguridad Nacional e introduce una serie de novedades encaminadas a dar respuesta a los nuevos riesgos y amenazas a los que nos enfrentamos, todos ellos caracterizados por un marcado carácter transversal y transnacional, como las ciberamenazas.
Tal y como publicaba Jan Neutze en uno de sus Post en el Blog oficial de Microsoft sobre Política de la UE, 2016 es el año en el que la ciberseguridad ha cambiado en Europa, pasando de ser un tema de debate conceptual a convertirse en la base concreta que se necesita tan urgentemente.

La directiva (UE) 2016/1148 (2) del Parlamento Europeo y del Consejo de la Unión Europea de 6 de julio de 2016, es la directiva europea de ciberseguridad y la primera norma relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión Europea. Esta directiva constituye un paso decisivo para hacer frente al reto que suponen las amenazas de Ciberseguridad.

A partir de estas iniciativas se pretende prevenir, evitar y dar respuesta a los incidentes que entre otros, puedan impedir o ralentizar las actividades económicas causar daños a la infraestructura, pérdida de confianza de los usuarios o la interrupción del funcionamiento de los sistemas y servicios esenciales.

“Los fallos de seguridad en las redes a menudo tienen una faceta transfronteriza y, por tanto, afectan a más de un Estado miembro. Una estrategia de protección fragmentada nos hace vulnerables y representa un riesgo grave para Europa en su conjunto. Esta directiva fijará niveles comunes de seguridad e impulsará la cooperación entre países, lo que ayudará a evitar acciones contra infraestructuras interconectadas” (3)

Uno de los objetivos de la Directiva es acabar con la fragmentación de los sistemas de ciberseguridad y los diferentes niveles de madurez de los estados miembros para actuar de forma cohesionada en el seno de la Unión Europea, utilizando como principio la colaboración. El fin último es aumentar el nivel general de ciberseguridad en la UE.

La citada directiva en ciberseguridad, entró en vigor en agosto de 2016 y los estados miembros tendrán 21 meses para transponerla y 6 meses más para identificar a los operadores de servicios esenciales.

La directiva diferencia dos figuras afectadas: los operadores de servicios esenciales y los proveedores de servicios digitales.
Para comprender mejor qué entidades entrarán en el ámbito de los operadores de servicios esenciales, hay que considerar dos elementos compuestos incluidos en el artículo 4, apartado 4, de la Directiva NIS.

Los operadores de servicios esenciales pueden ser tanto entidades públicas como privadas que prestan servicios en los ámbitos de la energía, el transporte, la banca, las infraestructuras del mercado financiero, el sector de la salud, el suministro y la distribución de agua potable y la infraestructura digital. De conformidad con el apartado 2 del artículo 5, los Estados miembros deberían considerar a las entidades como proveedores de servicios esenciales si:
  1. una entidad preste un servicio esencial para el mantenimiento de actividades sociales y / o económicas críticas;
  2. la prestación de ese servicio depende de la red y de los sistemas de información; y
  3. un incidente tendría efectos perjudiciales significativos en la prestación de ese servicio.

Por tanto, los operadores de servicios esenciales deben "adoptar medidas técnicas y organizativas adecuadas y proporcionadas para gestionar los riesgos que plantea la seguridad de la red y los sistemas de información que utilizan en sus operaciones". Además, estos operadores también tendrán que "adoptar las medidas adecuadas para prevenir y minimizar el impacto de los incidentes que afecten a la seguridad de la red y los sistemas de información utilizados para la prestación de esos servicios esenciales, a fin de garantizar la continuidad de esos servicios". Además, deben "notificar sin demora indebida a la autoridad competente o al CSIRT incidentes que tengan un impacto significativo en la continuidad de los servicios esenciales que prestan".

En cuanto a los proveedores de servicios digitales afectados (comercio en línea, motores de búsqueda y servicios en la nube (anexo III)) también tendrán que adoptar medidas para garantizar la seguridad de su infraestructura y deberán informar en caso de incidentes a las autoridades. Las exigencias de seguridad y notificación son, no obstante, menos estrictas para estos operadores.
En lo que se refiere a las excepciones que quedan fuera de su ámbito de aplicación, se excluyen las micro y pequeñas empresas. También puede concederse una exención cuando existan reglamentos o legislaciones sectoriales específicos de la UE en materia de seguridad de las redes y de la información y cuando se considere que el régimen regulador de la UE ofrece una protección equivalente o superior a la establecida en la Directiva NIS.

Los proveedores de servicios digitales se enfrentan a obligaciones de seguridad menos estrictos y necesitan "notificar a la autoridad competente o al CSIRT sin demora indebida cualquier incidente que tenga un impacto sustancial en la prestación de un servicio que ofrezcan dentro de la Unión".

No obstante, la Directiva señala que deben tenerse en cuenta los siguientes elementos:
  • La seguridad de los sistemas e instalaciones;
  • Manejo de incidentes;
  • Gestión de la Continuidad del Negocio;
  • Seguimiento, auditoría y pruebas;
  • Cumplimiento de las normas internacionales.
Para conseguir sus objetivos:
  • Crea un Grupo de cooperación para apoyar y facilitar la cooperación estratégica y el intercambio de información entre los Estados miembros y desarrollar la confianza y seguridad entre ellos;
  • Crea una red de equipos de respuesta a incidentes de seguridad informática (en lo sucesivo, «red de CSIRT», por sus siglas en inglés de «computer security incident response teams») con el fin de contribuir al desarrollo de la confianza y seguridad entre los Estados miembros y promover una cooperación operativa rápida y eficaz;
  • Establece requisitos en materia de seguridad y notificación para los operadores de servicios esenciales y para los proveedores de servicios digitales;
  • Establece obligaciones para que los Estados miembros designen autoridades nacionales competentes, puntos de contacto únicos y CSIRT con funciones relacionadas con la seguridad de las redes y sistemas de información.
La Directiva NIS establece los requisitos mínimos comunes que deben cumplir los Estados miembros en materia de seguridad en las redes y de la información, y obliga, entre otras cuestiones, a:
  • Identificar y comunicar a la Comisión los operadores de servicios esenciales y los proveedores de servicios digitales de los Estados miembros (4);
  • comunicar y notificar a la Comisión incidentes con efecto perturbador significativo. El requisito de notificar los incidentes de seguridad informática pretende impulsar hábitos de gestión del riesgo y garantizar que la información sea compartida entre los sectores público y privado. Introducir un requisito de notificación de incidentes para las empresas (artículo 14)
  • Desarrollar y comunicar a la Comisión estrategias nacionales sobre ciberseguridad (artículo 7);
  • definir un marco de gobernanza (5). Establecer las autoridades nacionales en materia de seguridad de los sistemas de red y de información (artículo 8);
  • que se coordine con las estructuras europeas de manera que pueda aplicarse la Directiva.
Algunos de los aspectos relevantes que incluye la Directiva es la cooperación y el intercambio de información, por lo que también obliga a:
  • Cooperar a escala nacional y a escala internacional. Esta última se realizará a nivel técnico a través de la creación de una red de Equipos de Respuesta ante Incidentes de Ciberseguridad a fin de intercambiar información(artículo 10);
  • a nivel estratégico con la creación del Grupo de Cooperación formado por representantes de los EEMM, la Comisión y ENISA. (Artículo 12)
Además de definir y establecer las disposiciones legales, reglamentarias y administrativas, en coordinación con aquellos que posean competencias en la materia. (Artículo 21).

Impulsar un esquema de cooperación público-privado como el previsto por la Directiva NIS es de singular importancia a fin de identificar, prevenir y mitigar los ciberataques que puedan afectar a Europa y a España, además, y puesto que esta obliga a la cooperación a escala nacional, la trasposición de la Directiva ayudará a implementar el modelo de gobernanza nacional.

Por otra parte, la colaboración del sector privado en las decisiones relativas a la trasposición de la Directiva son de especial relevancia y el proceso incluye la consulta pública al sector, a fin de realizarla con total eficacia y transparencia.

La adopción de la Directiva NIS y su trasposición va a suponer uno de los hitos más importantes para la ciberseguridad a nivel europeo y mundial. La armonización, estructuras creadas y sistema de gestión de incidentes a nivel europeo, impulsará sin duda el mercado digital en la eurozona, estableciendo una serie de capacidades mínimas en todos los Estados miembros, que deberán adaptar sus modelos de gobernanza a las implicaciones de la norma europea.
Este reto, debe ser aprovechado como una gran oportunidad para dar un impulso a nivel nacional, y permitir acoplar y sincronizar la nueva estructura para ponerla al servicio del Sistema de Seguridad Nacional.
(1) Andrus Ansip, Vicepresidente y Comisario europeo de Mercado Único Digital.
(3) Andreas Schwab
(4) Energía, transporte, banca, infraestructuras de los mercados financieros, sector sanitario, suministro y distribución de agua potable, infraestructura digital y proveedores de servicios digitales (mercado en línea, motores de búsqueda y servicios de computación en nube) y Administraciones públicas que hayan sido identificadas como como operadores de servicios esenciales. Quedan excluidas: las microempresas y pequeñas empresas que sean proveedores de servicios digitales y las empresas que están sujetas a los requisitos de las Redes Públicas de Comunicaciones, así como los proveedores de servicios de confianza (firma digital, sellos de tiempo, etc.)
(5) Designar una o más AUTORIDADES COMPETENTES que supervisarán la aplicación de la Directiva a escala nacional y estén facultadas para adoptar directrices nacionales sobre la notificación de incidentes. Designar un único PUNTO DE CONTACTO ÚNICO nacional que se encargue de coordinar las cuestiones relacionadas con la seguridad de las redes y sistemas de información y de la cooperación transfronteriza a escala de la Unión. Designar uno o varios Equipo/s de Respuesta ante Incidentes de Ciberseguridad (CSIRT), responsables de la gestión de incidentes.