seguritecnia 434

SEGURITECNIA Septiembre 2016 21 su incidencia directa en la seguridad de las entidades públicas y privadas, se les podrán imponer requisitos es- pecíficos para garantizar la calidad de los servicios que presten. A falta de otra regulación y dada su trascendental importancia, el le- gislador entendió que había llegado el momento de introducir algún con- trol sobre quienes apliquen medidas encaminadas a proteger los sistemas de información y garantizar su confi- dencialidad, disponibilidad e integri- dad (art. 6.6), medidas que posterior- mente (art 52.c), incluye entre las re- guladas. Así pues se trata no sólo de regu- lar la actividad de los proveedores de servicios de seguridad informá- tica, sino también de determinar cuá- les son estas medidas que luego po- drán ser exigidas a determinados su- jetos en función de los riesgos que genere su actividad y de su vulnerabili- dad. Aunque la ley utiliza términos he- redados de la norma del 92 “estableci- mientos e instalaciones industriales, co- merciales y de servicios”, su Reglamento de desarrollo debería buscar la fórmula para pasar al concepto más amplio y moderno de “actividades” . En consecuencia, a través de la vi- gente Ley de Seguridad Privada no sólo se pueden imponer requisitos a los pro- veedores de servicios de seguridad in- formática, sino que podría atribuirse la condición de sujeto obligado a cual- quiera de los sujetos a que se refiere la Directiva NIS , esto es, proveedores de servicios esenciales y de servicios di- gitales, fuera del ámbito de la seguridad de las redes y de la información. Es más, también podría atribuir esta misma condición, para todo tipo de medidas, a operadores de servicios esenciales que no sean críticos y actúen fuera de los sectores contemplados en la Directiva. La aparición de la Directiva NIS y su consiguiente trasposición al ordena- miento español, aparte de la disper- sión normativa y la consiguiente difi- cultad para su cumplimiento, puede plantear un grave problema de homo- men sancionador. En todo caso, desde la Fundación Borredá queremos ha- cer un reconocimiento expreso a la la- bor desarrollada por el CNPIC porque, aún careciendo de medios y recursos coercitivos, ha conseguido levantar en tiempo record nuestro Sistema PIC hasta la posición de referente internacional que ocupa en la actualidad. La Directiva NIS y la Ley de Seguridad Privada Aunque, aparentemente, la normativa sobre seguridad privada afecta a ám- bitos distintos que el de esta Directiva, hay que poner de manifiesto que la Ley 5/2014 contiene previsiones que sin duda, podrían entrar en competencia con ésta, lo que debe tenerse muy pre- sente a la hora de su trasposición. En efecto, la Ley de Seguridad Privada tiene por objeto regular la realización, por personas privadas, de actividades y servicios de seguridad privada, contra- tados por terceros, de forma voluntaria u obligatoria, para la protección de per- sonas y bienes. Pero, fuera de este ám- bito, la ley establece también que a las empresas que se dediquen a activida- des de seguridad informática (no inclui- das entre las de seguridad privada), por sitos, cuyos titulares son designados operadores críticos. Así pues todos los operadores crí- ticos designados por la Ley PIC son operadores de servicios esenciales, pero al margen de ellos existen otros operadores de servicios esenciales para los que no es de aplicación la Ley PIC y sí la Directiva NIS en tanto en cuanto actúen en los sectores a que ésta se refiere. Pero fuera de estos casos, el resto de operadores de ser- vicios esenciales se sitúan en el limbo jurídico en cuanto a obligaciones con su propia seguridad, salvo que les sean impuestas por otras normas. A destacar que, antes del 9 de mayo de 2018 , los Estados miem- bros deberán establecer el régimen de sanciones aplicables en caso de incumplimiento de las disposiciones nacionales aprobadas al amparo de la presente Directiva y adoptar to- das las medidas necesarias para garan- tizar su aplicación. He aquí una cues- tión de extraordinaria importancia toda vez que afecta a la dinámica de enten- dimiento y de colaboración público-pri- vada que viene presidiendo el desarro- llo de nuestro Sistema PIC y que carece de régimen sancionador. La propia Directiva apunta un argu- mento digno de tomar en considera- ción al exponer, considerando (5), que la diferencia entre los niveles de pre- paración de los Estados miembros ha dado lugar a planteamientos fragmen- tados en la Unión que generan niveles desiguales de protección de los consumi- dores y las empresas, comprometiendo el nivel general de seguridad de las redes y sistemas de información de la Unión. Este planteamiento cabe trasladarlo al cumpli- miento de los requisitos por parte de los diferentes operadores en cada Estado, de forma que los incumplimientos de algu- nos, además de proporcionarles venta- jas competitivas injustas, dadas las inter- dependencias existentes, comprome- ten el nivel de seguridad general. Entendemos que este enfoque debe facilitar la decisión más adecuada res- pecto al establecimiento de un régi-