seguritecnia 434

7 SEGURITECNIA Septiembre 2016 Editorial “Ser lo que soy, no es nada sin la Seguridad” (Shakespeare) L a Unión Europea ya cuenta con su esperada regulación en materia de ciberseguridad. La recientemente aprobada Directiva UE 2016/1148, más conocida como Directiva NIS, establece un modelo común de pro- tección de las redes y los sistemas de información, cuya elaboración se ha dilatado durante más de dos años de negociaciones. No cabe duda de que el establecimiento de unas capacidades conjuntas de seguridad y respuesta para estas tecnologías es necesario, dada la magnitud de las ciberamenazas actuales y la capacidad de impacto sobre entornos cruciales para la sociedad, no ya sólo de cada país sino del conjunto de los Estados. Sin embargo, este reto no ha sido sencillo teniendo en cuenta, como indica la propia norma, las diferencias que exis- ten entre países en el desarrollo de esta materia. En España se han producido grandes avances en los últimos años, que se hacen patentes al comprobar que muchas de las exigencias de la norma ya están en marcha o dependen de matices. Especialmente se hacen notables cuando la Directiva exige la designación de operadores de servicios esen- ciales, la elaboración de una estrategia nacional de seguridad de las redes y los sistemas de información o la designación de uno o varios centros de res- puesta a incidentes de seguridad informática (CERT). No obstante, la Directiva NIS requerirá un importante esfuerzo de transpo- sición a la normativa española, que tendrá que realizarse antes del 9 de mayo de 2018. Destacan especialmente cuatro aspectos: por un lado, qué orga- nismo será designado como Autoridad Nacional competente para supervisar la aplicación y cumplimiento de la Directiva; por otro, en la misma línea, cuál ejercerá de Punto de Contacto Único; en tercer lugar, la notificación de inci- dentes de ciberseguridad por parte de los operadores de servicios esenciales y los proveedores de servicios digitales; y, por último, el régimen sancionador que obliga a implantar la norma europea para los incumplidores. Dado que la Directiva está enfocada especialmente a la protección de los servicios esen- ciales, que en España depende de la Secretaría de Estado de Seguridad, a tra- vés del CNPIC, parece que lo lógico sería que este último órgano asumiera di- chas funciones, si bien existen otros organismos con competencias en materia de seguridad de las redes y los sis- temas de información también aptos, por lo que la decisión será un importante asunto a dirimir. Por otro lado, el traslado del texto europeo al ordenamiento español afectará a diversas leyes. La de Protección de las Infraestructuras Críticas, la de Seguridad Privada, la de de Servicios de la sociedad de la información y de co- mercio electrónico o la de Protección de Datos Personales, son algunas de ellas. Pero, lejos de resultar un inconve- niente, la trasposición de la Directiva NIS debe enfocarse como un ejercicio que permita la mejor fórmula posible para unificar diferentes enfoques y sensibilidades a la hora de regular aspectos relacionados con la seguridad. Ha de abordarse como una oportunidad de homogeneizar ciertos aspectos ahora dispersos y de aumentar las capaci- dades de ciberseguridad. S Directiva NIS: retos de transposición La nueva norma europea para las redes y sistemas de información debe abordarse como una oportunidad de homogeneizar aspectos que ahora están dispersos