seguritecnia 434

20 SEGURITECNIA Septiembre 2016 las TIC (Tecnologías de la Información y la Comunicación). Se prevé que para 2017 se haga lo propio con los sectores del trans- porte urbano, alimentación y sanidad. En el Sistema se dispone ya de cerca de 100 Planes de Seguridad del Operador aprobados, de carácter integral y consi- derando no sólo los activos físicos, sino las redes y sistemas. Y, por último, están en vías de aprobarse a lo largo de 2016 y 2017 alrededor de 400 Planes de Protec- ción Específicos . En cuanto a los requisitos de seguri- dad y de notificación de incidentes para los operadores de servicios esenciales es- tablecidos por la Directiva NIS, ya están contenidos en su mayor parte en la nor- mativa PIC que exige a los operadores crí- ticos su inclusión en los respectivos Pla- nes de Seguridad del Operador y en los Planes de Protección Específicos, que al- canzan a todos sus activos críticos, inclui- das las redes de comunicación y datos. A mayor abundamiento, el Plan Nacio- nal de Protección de las Infraestructu- ras Críticas (PNPIC) , actualizado reciente- mente por Instrucción del Secretario de Estado de Seguridad 1/2016 de 10 de fe- brero, contempla la obligación, por parte del operador crítico, de comunicar cual- quier ciberincidente que recaiga dentro de los umbrales de criticidad estableci- dos por la Oficina de Coordinación Ciber- nética del CNPIC, absolutamente alinea- dos, por otra parte, con los contenidos en el art. 14.4 de la Directiva NIS. Este reporte se está efectuando ya a través de un con- tacto continuo y permanente con el CERT de Seguridad e Industria, previa suscrip- ción de un Acuerdo de Confidencialidad entre las partes (operador crítico, CNPIC e INCIBE) que garantiza el correcto trata- miento de los datos. Ahora bien, es necesario diferenciar los conceptos de operador crítico y operador de servicios esenciales. La Ley 8/2011 de Protección de Infraestructu- ras Críticas, aplicable únicamente a este tipo de infraestructuras, califica como estratégicas todas las infraestructuras que sirven de soporte a los servicios esenciales, pero sólo considera críticas las que cumplen determinados requi- vino a contemplar la protección de los servicios esenciales, en su conjunto, a tra- vés de las infraestructuras que les dan so- porte, fue la Ley 8/2011, PIC, trasposición de la Directiva 114/2008 del Consejo, so- bre la identificación y designación de in- fraestructuras críticas europeas y la eva- luación de la necesidad de mejorar su protección. El Sistema PIC, emanado de la Ley 8/2011, está dotado de un concepto de integralidad (aborda tanto la seguridad fí- sica como la cibernética de los operado- res y las infraestructuras críticas) que con- tiene ampliamente e incluso supera lo exigible por la Directiva NIS, puesto que ésta se ciñe únicamente al ámbito de la seguridad de las redes y la información en determinados sectores. Por otra parte, la estructura de nuestro Sistema PIC es muy similar a la propuesta en esta Directiva, aunque más amplia, ya que incorpora 12 sectores estratégicos. En consecuencia los trabajos de identifi- cación de operadores críticos ya realiza- dos por la Secretaría de Estado de Seguri- dad en el desarrollo de los distintos Planes Estratégicos Sectoriales, además de pro- porcionarle todo el conocimiento sobre el ámbito de los servicios esenciales, son perfectamente válidos a la hora de iden- tificar a los operadores de servicios esen- ciales que exige esta Directiva. En este sentido, conviene recordar que el CNPIC ha identificado ya a 106 ope- radores críticos (de los sectores energía – electricidad, gas y petróleo–, industria nu- clear, financiero y banca, transporte –ma- rítimo, aéreo, ferroviario y carretera–, agua, industria química y espacio). Antes de fi- nal de 2016 se habrán identificado varios operadores más, esta vez del sector de dos miembros designarán uno o va- rios equipos de respuesta a incidentes de seguridad informática, responsables de la gestión de incidentes y riesgos. A estos efectos, en España existen tres CSIRT de carácter nacional que podrían formar parte de la Red de CSIRT prevista por la citada Directiva, cada uno de ellos con su propio ámbito competencial na- cional: CERT de Seguridad e Industria , cuya comunidad objetivo son los operado- res de infraestructuras críticas, empre- sas y ciudadanos. Centro Criptografico Nacional-CERT , cuya comunidad objetivo es la Admi- nistración Pública. Mando Conjunto de Ciberdefensa , responsable de la ciberdefensa en las redes y sistemas de información y tele- comunicaciones del Ministerio de De- fensa, y de la respuesta ante amenazas o agresiones que puedan afectar a la Defensa Nacional. Habida cuenta de las funciones que le- galmente ejercen y del marco de relacio- nes existentes en el ámbito nacional, la designación de cualquiera de ellos para integrarse en la red europea no debería alterar el actual marco competencial es- pañol. En todo caso parece indudable la primacía, en lo relativo a la aplicación y trasposición de la Directiva NIS, del CERT de Seguridad e Industria. Incidencia en la normativa PIC En diversas normas de nuestro ordena- miento jurídico se reconocía la importan- cia de los servicios esenciales y se estable- cían garantías para preservar su continui- dad. No obstante, la primera norma que Antes de mayo de 2018, los Estados miembros deberán establecer el régimen de sanciones aplicables, en caso de incumplimiento de la Directiva, y adoptar todas las medidas necesarias para garantizar su aplicación