El pasado 8 de septiembre conocimos que la compañía norteamericana Equifax había sido víctima entre los meses de mayo y julio de un ciber ataque sobre la información de carácter personal de 143 millones de clientes. Esta noticia supuso que la cotización de las acciones de la financiera estadounidense bajara hasta un 18%.
Cabe recordar que durante ese mismo periodo de tiempo, millones de ordenadores en todo el mundo fueron víctimas de los virus Wanna Cry y Petya. Pese a que los efectos en España fueron limitados, según datos delInstituto Nacional de Ciberseguridad (INCIBE), España es el tercer país más atacado del mundo, tras Estados Unidos y Reino Unido.
En este contexto, el Parlamento y el Consejo Europeo adoptaron la Directiva 2016/1148, Directiva NIS, con objeto de asumir las medidas necesarias para garantizar la seguridad en las redes y en los sistemas de información.
En este artículo pasaremos a describir sus puntos esenciales y su relación con el nuevoReglamento General de Protección de Datos.
1.Puntos esenciales de la Directiva NIS.
Entrada en vigor:la Directiva entró en vigor con fecha 7 de agosto de 2016 y debe ser transpuesta por los Estados miembros antes del 9 de mayo de 2018, siendo de aplicación las distintas medidas reglamentarias adoptadas por los Estados miembros el día 10 de mayo de 2018.
Objetivo de la Directiva: lograr un elevado nivel de seguridad de las redes y sistemas de información dentro de la UE.
Para alcanzar dicha meta la Directiva estableces las siguientes exigencias:
Obliga a los Estados miembros a adoptar una estrategia nacional de seguridad de redes y sistema de información. Para la cual, los Estados miembros deberán designar autoridades competentes en seguridad de redes y sistemas de información.
Asimismo, obliga a que los Estados miembros a que designen uno o variosEquipos de Respuesta a Incidentes de Seguridad Informática (CSIRT).
Creación de unGrupo de cooperación entre los Estados miembros para facilitar el intercambio de información.
Obliga a los Estados miembros a que identifiquen losOperadores de Servicios Esenciales (OSE)y losProveedores de Servicios Digitales (PSD)establecidos en su territorio para cada sector.
¿Qué es un OSE?La Directiva en su Anexo II enumera distintos tipos de operadores esenciales según su sector. Además, para ser considerado como un OSE la entidad debe cumplir con los siguientes requisitos (Art. 5.2):
Debe ser una entidad que presta un servicio esencial para el mantenimiento de actividades sociales o económicas.
La prestación de dicho servicio depende de las redes.
Un incidente(definido por la propia Directiva como todo hecho que tenga efectos adversos reales en la seguridad de las redes y sistemas de información) tendría efectos perturbadores en la prestación del servicio.
Los Estados miembros deberán identificar los OSE que operan en su territorio antes del 9 de noviembre de 2018. Del mismo modo, revisarán la lista de OSE como mínimo cada dos años a partir del 9 de mayo de 2018.
Requisitos en materia de seguridad y notificación de incidentes de los OSE: los distintos requisitos en materia de seguridad y notificación que deberán llevar a cabo los OSE son los siguientes:
Adopción de medidas de seguridad adecuadas a los posibles riesgos que pudieran darse en la entidad con el objetivo de garantizar la continuidad de la prestación del servicio.
Notificación de manera inmediata a la autoridad competente o al CSIRT de cualquier incidencia que tenga efectos significativos en la prestación de los servicios esenciales.
Dichas notificaciones deberán contener la información suficiente que permita a las distintas autoridades determinar cualquier efecto transfronterizo del incidente.
¿Qué es un PSD?la Directiva en su Anexo III enumera distintos tipos de servicios digitales a efectos de ser considerado como un PSD, en concreto son los tres siguientes:
Mercado en línea.
Motor de búsqueda en línea.
Servicios de computación en nube.
Requisitos en materia de seguridad y notificación de los PSD:asimismo, la Directiva establece una serie de medidas a adoptar por los proveedores de servicios digitales. Estas medidas deberán ser adecuadas para hacer frente a los riesgos existentes para la seguridad de las redes y sistemas de información que se utilizan en el marco de la oferta de servicios esenciales en la Unión Europea.
Aplicación de la Directiva:los Estados miembros deberán observar que las autoridades competentes adopten las medidas necesarias para comprobar que tanto los OSE como los PSD cumplen con las obligaciones de seguridad y notificación.
Dentro de dichas medidas, las autoridades competentes podrán requerir información y pruebas de aplicación de las políticas de seguridad a los OSE. Una vez evaluada dicha información, las autoridades competentes pueden impartir instrucciones vinculantes a los OSE.
Además, los Estados miembros deberán velar por que los PSD adopten las medidas necesarias para gestionar los riesgos existentes.
Sanciones:los Estados miembros deberán establecer un régimen sancionador en caso de incumplimiento de las disposiciones nacionales que regulen la aplicación de la Directiva.
2.Nexo de unión entre la Directiva y el Reglamento General de Protección de Datos
El tratamiento de los datos personales conforme a la Directiva de seguridad de la información, se llevará a cabo de acuerdo a la Directiva 95/46/CE, la cual ha sido derogada recientemente por elReglamento General de Protección de Datos (RGPD).
En su virtud, todo tratamiento de cualquier dato que cumpla con los requisitos para considerarse como un dato de carácter personal de acuerdo con la presente Directiva de seguridad de la información, deberá ser tratado conforme a las reglas y procedimientos establecidos en elRGPD.
Además, ante una posible existencia de un incidente tanto en la prestación de servicios esenciales como en los proveedores de servicios digitales, la seguridad de los datos carácter personal podría verse comprometida.
En este sentido, las autoridades competentes designadas por los Estados miembros en el marco de la presente Directiva y las autoridades responsables de protección de datos deben cooperar e intercambiar la información pertinente ante la violación de datos personales derivadas de incidentes.
Artículo escrito por Ignacio Gómez de Barreda, abogado en Metricson.