La seguridad en los operadores esenciales y en los proveedores de servicios digitales

Ciberseguridad, Compliance

La protección de los servicios esenciales que dan soporte a nuestra sociedad digital es un tema que preocupa desde hace tiempo a la Unión Europea desde sus organismos centrales, pero también a los distintos países que la componen. Es por ello que en los últimos años se ha desarrollado tanto normativa como guías de buenas prácticas en este ámbito.

La Legislación Nacional

En el aspecto regulador, España fue uno de los países pioneros en esta materia a través de la publicación en 2011 de la Ley 8/2011 de 28 de abril de Protección de infraestructuras Críticas (Ley PIC). Mientras que no fue hasta 2016 cuando el Parlamento Europea aprobó la Directiva 2016/1148, relativa a las medidas de seguridad de las redes y sistemas de información, también conocida como Directiva NIS.

La Directiva NIS fue traspuesta al ordenamiento jurídico español dos años después mediante Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información. Esta norma dejaba pendiente el desarrollo de las medidas adecuadas para proteger los servicios esenciales, que justamente es lo que se ha conseguido con la publicación la semana pasada del Real Decreto 43/2021, de 26 de enero.

El recién llegado Real Decreto-Ley aterriza la protección de los servicios esenciales y de los servicios digitales a través de un conjunto de obligaciones de seguridad y de notificación de incidentes concretos, que a partir de ahora serán de obligado cumplimiento en nuestro país.

Aunque la seguridad de los servicios esenciales ya estaba regulada en España antes de la publicación de la Directiva NIS por la Ley PIC, la directiva europea se centra en los servicios esenciales que estén soportados por sistemas y redes de información, ampliando su ámbito de aplicación a los servicios digitales. En el Art. 3 del Real Decreto-ley 12/2018, de 7 de septiembre se definen ambos términos: 

Servicio esencial: servicio necesario para el mantenimiento de las funciones sociales básicas, la salud, la seguridad, el bienestar social y económico de los ciudadanos, o el eficaz funcionamiento de las Instituciones del Estado y las Administraciones Públicas, que dependa para su provisión de redes y sistemas de información.

Servicio digital: servicio de la sociedad de la información entendido en el sentido recogido en la letra a) del anexo de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico.

A quien va dirigida

Tras la publicación del Real Decreto-ley 12/2018, de 7 de septiembre, la Comisión Nacional para la Protección de las Infraestructuras Críticas (Comisión PIC) designó a 132 operadores esenciales de los 71 servicios esenciales aprobados.  

Por tanto, el conjunto de estos operadores de servicios esenciales, más los que vaya designando posteriormente la Comisión PIC, son las entidades que deben cumplir el Real Decreto-ley 12/2018, y el Real Decreto 43/2021, así como la Ley PIC en el caso de que sean operadores de servicios esenciales críticos. Cabe reseñar que actualmente los operadores de servicios esenciales son los mismos que los operadores críticos.  

Operadores esenciales y proveedores de servicios digitales
Operadores esenciales y proveedores de servicios digitales. Fuente: Deloitte

Obligaciones de seguridad y de notificación de incidentes

Los requisitos de seguridad que se exige a los operadores esenciales en la norma recién publicada vienen a completar lo que ya se había definido en el Plan de Seguridad del Operador (PSO de la Ley PIC). Por tanto, los operadores no empiezan un proyecto desde cero, sino que se trata de una mejora de las capacidades ya adquiridas.

Las nuevas obligaciones se pueden resumir en los siguientes puntos:

  • Disponer de una Política de Seguridad que cubra como mínimo los siguientes aspectos:
    • Análisis y gestión de riesgos.
    • Gestión de riesgos de terceros o proveedores.
    • Catálogo de medidas de seguridad, organizativas, tecnológicas y físicas.
    • Gestión del personal y profesionalidad.
    • Adquisición de productos o servicios de seguridad.
    • Detección y gestión de incidentes.
    • Planes de recuperación y aseguramiento de la continuidad de las operaciones.
    • Mejora continua.
    • Interconexión de sistemas.
    • Registro de la actividad de los usuarios.
  • Designar un Responsable de Seguridad que actúe como punto de contacto con la autoridad competente de supervisión, y que tendrá como principal función elaborar y desarrollar la aplicación de las políticas de seguridad mediante los procedimientos pertinentes.
  • Formalizar en el documento denominado Declaración de Aplicabilidad las medidas de seguridad que la entidad implemente para cumplir con las políticas.
  • Notificar a la autoridad competente respectiva, a través del CSIRT de referencia, los incidentes que puedan tener efectos perturbadores significativos en el servicio.
  • Prevenir y reducir al mínimo el impacto de los incidentes que les afecten.
  • Aplicar en los tratamientos de datos de carácter personal de las personas físicas tanto el Reglamento Europeo de Protección de Datos, como la legislación española que lo desarrolla, es decir, la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

Respecto a las medidas concretas de seguridad que debe implementar un operador esencial, el Art. 6 del Real Decreto 43/2021, indica que deben tomar como referencia las recogidas en el Esquema Nacional de Seguridad, que se basarán, cuando sea posible, en otros esquemas nacionales de seguridad existentes, y que pueden tenerse en cuenta otros estándares reconocidos internacionalmente.   

Por su parte, mientras se desarrollaba este Real Decreto 43/2021, el CNPIC junto con Ineco, y la agencia de calificación de seguridad LEET Security, han desarrollado un esquema de certificación nacional para los servicios esenciales críticos, que será de adopción voluntaria para los servicios no críticos, y que servirá tanto para la supervisión del cumplimiento de las medidas de seguridad exigidas, como para que los propios operadores conozcan y mejoren su nivel de capacidades de seguridad.

Supervisión de la protección de los servicios esenciales y digitales

Otro de los asuntos que aborda el Real Decreto es precisamente la función supervisora de la autoridad competente en relación a los requisitos de seguridad de los operadores esenciales.

En este sentido, si bien los operadores esenciales podrán acreditar el cumplimiento de sus obligaciones de seguridad mediante la certificación en un esquema de seguridad que, previa consulta al CSIRT de referencia, sea reconocido por la autoridad competente, ello no exime a dicha autoridad de su función supervisora, la cual se resume a continuación: 

  • Verificar el cumplimiento de las funciones del responsable de seguridad.
  • Comprobar la aplicación de Política de Seguridad y evidenciar la Declaración de Aplicabilidad de medidas de seguridad al menos cada tres años, ya sea directamente o a través de una auditoría externa independiente.
  • Elaboración de informe anual de incidentes de seguridad.
  • Comunicar al punto de contacto único (Departamento de Seguridad Nacional) los incidentes que puedan afectar a servicios esenciales prestados en otros Estados de la UE.

En la siguiente tabla se enumeran las autoridades competentes y sus ámbitos de aplicación atendiendo a lo publicado en los Artículos 9, 12, y 13 del Real Decreto-ley 12/2018, de 7 de septiembre:

La participación del mercado de la ciberseguridad

Al igual que lo hizo en su día el Reglamento Europeo de Protección de Datos, esta nueva regulación trae oportunidades de negocio en el sector de la ciberseguridad para cubrir un amplio conjunto de necesidades en los operadores esenciales y en los proveedores de servicios digitales, que permiten elevar su nivel de madurez en seguridad. A continuación, y para finalizar, enumero algunas de ellas:  

  • Formación y concienciación en seguridad de la información.
  • Servicio externalizado de CISO y Oficina de Seguridad como soporte al Responsable de Seguridad.
  • Acompañamiento al operador de servicios esenciales o al proveedor de servicios digitales en la implementación de sus obligaciones de seguridad a través de la adopción de medidas de seguridad basadas en el Esquema Nacional o en la ISO 27001, así como la prestación de soporte en la elaboración de Planes de Continuidad de negocio.
  • Auditorias para verificar el cumplimiento de las obligaciones de seguridad del operador.
  • Soluciones de ciberseguridad para la puesta en marcha de las medidas de seguridad tales como: herramientas de Compliance, Análisis de Riesgos, SIEM, Gestión de Identidades, Inventario y gestión de activos IT y OT, protección del puesto de trabajo, etc.

Referencias:

Ley 8/2011 de 28 de abril de Protección de infraestructuras críticas

Directiva (UE) 2016/1148, relativa a las medidas de seguridad de las redes y sistemas de información

Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información

Real Decreto 43/2021, de 26 de enero, por el que se desarrolla el Real Decreto-ley 12/2018, de 7 de septiembre

Reglamento Europeo de Protección de Datos

Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales

Tags: , ,

Related Articles

Congreso anual de ISACA Madrid Chapter

Como emprender en el mundo ciber sin morir en el intento

Atenea TICs 2020 | Seguridad de la Información