La protección de los servicios esenciales que dan soporte a nuestra sociedad digital es un tema que preocupa desde hace tiempo a la Unión Europea desde sus organismos centrales, pero también a los distintos países que la componen. Es por ello que en los últimos años se ha desarrollado tanto normativa como guías de buenas prácticas en este ámbito.
En el aspecto regulador, España fue uno de los países pioneros en esta materia a través de la publicación en 2011 de la Ley 8/2011 de 28 de abril de Protección de infraestructuras Críticas (Ley PIC). Mientras que no fue hasta 2016 cuando el Parlamento Europea aprobó la Directiva 2016/1148, relativa a las medidas de seguridad de las redes y sistemas de información, también conocida como Directiva NIS.
La Directiva NIS fue traspuesta al ordenamiento jurídico español dos años después mediante Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información. Esta norma dejaba pendiente el desarrollo de las medidas adecuadas para proteger los servicios esenciales, que justamente es lo que se ha conseguido con la publicación la semana pasada del Real Decreto 43/2021, de 26 de enero.
El recién llegado Real Decreto-Ley aterriza la protección de los servicios esenciales y de los servicios digitales a través de un conjunto de obligaciones de seguridad y de notificación de incidentes concretos, que a partir de ahora serán de obligado cumplimiento en nuestro país.
Aunque la seguridad de los servicios esenciales ya estaba regulada en España antes de la publicación de la Directiva NIS por la Ley PIC, la directiva europea se centra en los servicios esenciales que estén soportados por sistemas y redes de información, ampliando su ámbito de aplicación a los servicios digitales. En el Art. 3 del Real Decreto-ley 12/2018, de 7 de septiembre se definen ambos términos:
Servicio esencial: servicio necesario para el mantenimiento de las funciones sociales básicas, la salud, la seguridad, el bienestar social y económico de los ciudadanos, o el eficaz funcionamiento de las Instituciones del Estado y las Administraciones Públicas, que dependa para su provisión de redes y sistemas de información.
Servicio digital: servicio de la sociedad de la información entendido en el sentido recogido en la letra a) del anexo de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico.
Tras la publicación del Real Decreto-ley 12/2018, de 7 de septiembre, la Comisión Nacional para la Protección de las Infraestructuras Críticas (Comisión PIC) designó a 132 operadores esenciales de los 71 servicios esenciales aprobados.
Por tanto, el conjunto de estos operadores de servicios esenciales, más los que vaya designando posteriormente la Comisión PIC, son las entidades que deben cumplir el Real Decreto-ley 12/2018, y el Real Decreto 43/2021, así como la Ley PIC en el caso de que sean operadores de servicios esenciales críticos. Cabe reseñar que actualmente los operadores de servicios esenciales son los mismos que los operadores críticos.
Los requisitos de seguridad que se exige a los operadores esenciales en la norma recién publicada vienen a completar lo que ya se había definido en el Plan de Seguridad del Operador (PSO de la Ley PIC). Por tanto, los operadores no empiezan un proyecto desde cero, sino que se trata de una mejora de las capacidades ya adquiridas.
Las nuevas obligaciones se pueden resumir en los siguientes puntos:
Respecto a las medidas concretas de seguridad que debe implementar un operador esencial, el Art. 6 del Real Decreto 43/2021, indica que deben tomar como referencia las recogidas en el Esquema Nacional de Seguridad, que se basarán, cuando sea posible, en otros esquemas nacionales de seguridad existentes, y que pueden tenerse en cuenta otros estándares reconocidos internacionalmente.
Por su parte, mientras se desarrollaba este Real Decreto 43/2021, el CNPIC junto con Ineco, y la agencia de calificación de seguridad LEET Security, han desarrollado un esquema de certificación nacional para los servicios esenciales críticos, que será de adopción voluntaria para los servicios no críticos, y que servirá tanto para la supervisión del cumplimiento de las medidas de seguridad exigidas, como para que los propios operadores conozcan y mejoren su nivel de capacidades de seguridad.
Otro de los asuntos que aborda el Real Decreto es precisamente la función supervisora de la autoridad competente en relación a los requisitos de seguridad de los operadores esenciales.
En este sentido, si bien los operadores esenciales podrán acreditar el cumplimiento de sus obligaciones de seguridad mediante la certificación en un esquema de seguridad que, previa consulta al CSIRT de referencia, sea reconocido por la autoridad competente, ello no exime a dicha autoridad de su función supervisora, la cual se resume a continuación:
En la siguiente tabla se enumeran las autoridades competentes y sus ámbitos de aplicación atendiendo a lo publicado en los Artículos 9, 12, y 13 del Real Decreto-ley 12/2018, de 7 de septiembre:
Al igual que lo hizo en su día el Reglamento Europeo de Protección de Datos, esta nueva regulación trae oportunidades de negocio en el sector de la ciberseguridad para cubrir un amplio conjunto de necesidades en los operadores esenciales y en los proveedores de servicios digitales, que permiten elevar su nivel de madurez en seguridad. A continuación, y para finalizar, enumero algunas de ellas:
Referencias:
Ley 8/2011 de 28 de abril de Protección de infraestructuras críticas
Directiva (UE) 2016/1148, relativa a las medidas de seguridad de las redes y sistemas de información
Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información