seguritecnia 434

SEGURITECNIA Septiembre 2016 17 Infraestructuras Críticas y Estratégicas (CNPIC). De esta línea de acción se ha derivado un Plan de Protección y Resi- liencia de los Sistemas de Información y Telecomunicaciones que soportan las Infraestructuras Críticas , liderado y ejecutado igualmente por el CNPIC. C) Crea un Grupo de Cooperación, grupo de trabajo en el que se integran representantes de los Estados miembros, de la Comisión y de la Agencia de Segu- ridad de las Redes y de la Información de la Unión Europea (ENISA), que tiene por objeto apoyar y facilitar la cooperación estratégica y el intercambio de informa- ción entre los Estados miembros. Como queda dicho, este grupo actúa en un nivel estratégico, por lo que el re- presentante nacional debería ser una fi- gura de alto nivel que podría contar con el asesoramiento de la Autoridad Nacional y, en su caso, de los represen- tantes de los CSIRT nacionales. En este sentido, conviene recordar que España cuenta con un embajador en misión es- pecial para la ciberseguridad. D) Crea una red de Equipos de Res- puesta a Incidentes de Seguridad In- formática (CSIRT: Computer Security Inci- dent Response Teams ) con el fin de con- tribuir al desarrollo de la confianza y seguridad entre los Estados miem- bros y promover una cooperación operativa rápida y eficaz . Estos equipos deben cubrir, al me- nos, los sectores y servicios ya relacio- nados y sus requisitos han de definirse claramente en la legislación nacional, si bien la propia Directiva ya avanza algu- nos: ofrecer una elevada disponibilidad tificar incidentes les afecta únicamente en la medida en que dispongan de in- formación sobre sus efectos, trasladán- dose en todo caso al operador. No obstante, es importante resal- tar que estas obligaciones no son apli- cables a las microempresas (empresas que ocupan a menos de 10 personas y cuyo volumen de negocios anual o cuyo balance general anual, no supera los 2 M€) y pequeñas empresas (aque- llas que ocupan a menos de 50 perso- nas y cuyo volumen de negocios anual o cuyo balance general anual no ex- cede de 10 M€). Respecto al cumplimiento de las me- didas exigibles a los proveedores de servicios digitales, las autoridades com- petentes de los Estados miembros lle- varán a cabo, si fuera necesario, acti- vidades de supervisión a posteriori , cuando tengan pruebas de algún in- cumplimiento de los requisitos estable- cidos. En todo caso se establecen pre- visiones para la cooperación entre Es- tados miembros cuando un proveedor actúe en varios de ellos. B) Establece obligaciones para todos los Estados miembros de adoptar una estrategia nacional de seguridad de las redes y sistemas de información. A este respecto, hay que señalar que España dispone, desde diciembre de 2013, de una Estrategia Nacional de Ci- berseguridad, una de cuyas líneas de acción es precisamente la Seguridad de los Sistemas de Información y Tele- comunicaciones que soportan las In- fraestructuras Críticas , liderada por el Ministerio del Interior a través del Cen- tro Nacional para la Protección de las por agua - marítimo, costero y fluvial -, carretera). Sector Banca. Sector Infraestructuras Financieras de mercado. Sector Salud. Sector Suministro y Distribución de Agua para consumo humano. Sector Infraestructura Digital. Los operadores de servicios esencia- les, que han de ser identificados antes del 9 de noviembre de 2018 , deberán adoptar medidas técnicas y de organi- zación que garanticen un nivel de se- guridad de las redes y sistemas de in- formación adecuado en relación con el riesgo planteado, para prevenir y redu- cir al mínimo los efectos de los inciden- tes con el objeto de garantizar su con- tinuidad. Igualmente, deberán notifi- car, sin dilación indebida a la autoridad competente, los incidentes que tengan efectos significativos en la continuidad de los servicios esenciales que prestan. La Autoridad Nacional competente velará por la aplicación y observancia de estas obligaciones, recabando prue- bas de su aplicación efectiva, que inclu- yen el resultado de auditorías realizadas por la propia autoridad o por auditores cualificados. La Directiva otorga la condición de proveedor de servicios digitales a toda persona jurídica que preste un ser- vicio digital, concepto definido a su vez en la Directiva 2015/1535 como todo servicio de la sociedad de la informa- ción, es decir, todo servicio prestado normalmente a cambio de una remu- neración, a distancia, por vía electrónica y a petición individual de un destinata- rio de servicios. Pero solamente tienen esta consideración tres tipos de servi- cios: mercado en línea, motor de bús- queda en línea y computación en nube, también definidos en el artículo 4 de la Directiva NIS. A estos proveedores de servicios digi- tales se les imponen obligaciones simi- lares que a los operadores en relación a la prevención de riesgos y continuidad del servicio, si bien la obligación de no- La finalidad de la Directiva NIS es establecer una serie de medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión Europea