Con la finalidad de garantizar un elevado nivel de seguridad en las redes y sistemas de información de la UE y la cooperación entre los estados miembros en materia de ciberseguridad, se aprobó la directiva NIS del 6 de julio del año pasado.
Como se encargó de recordar a Merca2 Ingrid González, abogada de Legistel, esta directiva nació en un contexto donde los niveles de preparación que tiene cada uno de los estados miembros para hacer frente a ciberataques son “muy distintos”.
Ello ha dado lugar a “planteamientos fragmentados” generándose así una “situación de desigualdad” en cuanto a los diferentes niveles de protección de los consumidores y las empresas en esta materia.
A ello hay que sumar que no existían requisitos comunes que se pudieran aplicar a “operadores de servicios esenciales” y “proveedores de servicios digitales”, lo que ha imposibilitado hasta ahora la creación de un mecanismo de cooperación realmente eficaz dentro de la UE.
Cuando se habla de “operadores de servicios esenciales” se refiere a aquellas entidades que prestan un servicio, como su propio nombre indica, esencial para el mantenimiento de “actividades sociales” o económicas que posean un interés crucial.
La prestación de este tipo de servicios esenciales depende de los sistemas de redes e información de tal forma que, explica González, un incidente tendría consecuencias “perturbadoras” y significativas para la prestación de dicho servicio.
Los operadores de servicios esenciales se encuadran en los sectores de la energía (electricidad, petróleo y gas), el transporte (aéreo, marítimo, fluvial, por ferrocarril y por carretera), la banca, las infraestructuras financieras de mercado, el sanitario, el suministro y distribución de agua potable y de las infraestructuras de agua potable.
En el párrafo 26 de las consideraciones previas de la directiva se especifica que los estados miembros deben tener en cuenta el número y “la magnitud” de esos operadores identificados como prestadores de servicios esenciales atendiendo a criterios como su cuota de mercado, la cantidad producida o transportada.
Esto no implica, por otra parte, que exista necesidad alguna de divulgar información que pueda revelar qué operadores de servicios esenciales han podido ser identificados por ese estado miembro como tales.
Este tipo de operadores deberán tomar unas medidas técnicas y organizativas “adecuadas y proporcionadas” para gestionar los riesgos que se planteen en la seguridad de sus redes y sistemas de información que utilizan en sus operaciones.
Estas medidas, recalcó González, deberán servir para garantizar un nivel de seguridad adecuado en dichos sistemas y redes de información, de acuerdo con el riesgo.
Los estados miembros han de velar por que los operadores de estos servicios esenciales notifiquen sin demora injustificada a la autoridad del país miembro que corresponda o al CSIRT (el equipo de respuesta a incidentes de seguridad informática) los incidentes que puedan tener efectos significativos a la hora de prestar ese servicio considerado “esencial”.
Esa notificación deberá contener la información suficiente como para permitir a esa autoridad competente o equipo de respuesta a incidentes informáticos determinar si esa incidencia puede dejar sentir sus efectos fuera de las fronteras del país en cuestión.
La importancia de un incidente cuando se habla de operadores de servicios esenciales se determinará con arreglo al número de usuarios afectados por esa “perturbación” del servicio esencial -como se expresa en el artículo 14- por su duración y la zona afectada por el mismo.
La otra categoría que contempla la directiva es la de los llamados “proveedores de servicios digitales”. Por “servicio digital” la directiva se refiere a mercados online, motores de búsqueda o servicios de computación en la Nube.
Cuando se produzca una incidencia que tenga un “impacto significativo” en la prestación de estos mismos servicios dentro de la UE, las empresas clasificadas en esta categoría deberán notificarlo también al CERT o autoridad competente del estado miembro donde se haya producido ese hecho.
Los mismos criterios que se utilizan para medir el impacto del incidente en los operadores de servicios esenciales rigen de igual modo para los proveedores de servicios digitales.
La única diferencia es que al número de usuarios afectados, la duración y la extensión geográfica se unen los criterios del grado de «perturbación» en la prestación del servicio y el alcance sobre actividades económicas y sociales.
Lo establecido en el capítulo V para este tipo de proveedores no se aplica a las pequeñas empresas y a las microempresas. Según una recomendación europea de 2003, las pequeñas empresas son aquellas que cuentan con menos de cincuenta trabajadores y las microempresas las que cuentan con menos de diez.
Las grandes corporaciones cuya sede central se encuentre, por ejemplo, en Estados Unidos no se libran tampoco si son proveedoras de servicios digitales en la UE. La directiva les obliga a designar un representante que se establecerá en uno de los estados miembros donde presten sus servicios, de acuerdo con lo especificado en el artículo 18.
La directiva NIS deja en manos de los propios estados miembros el establecimiento de las sanciones aplicables ante los incumplimientos de las disposiciones nacionales aprobadas al amparo de la propia directiva. En el texto se enfatiza que dichas sanciones serán «efectivas, proporcionadas y disuasorias».
Las compañias que estén en tierra de nadie, por decirlo así, porque no hayan sido identificadas como operadores de servicios esenciales ni sean proveedores de servicios digitales, podrán notificar los incidentes que tengan “efectos significativos” en la continuidad de la prestación de sus servicios solo si así lo desean.
La abogada advierte de que al tratarse de una directiva europea esta no tiene un efecto directo hasta la incorporación de la misma en los ordenamientos jurídicos de los estados miembros.
El plazo para sacar adelante las disposiciones legales, reglamentarias y administrativas necesarias para su cumplimiento finalizará el 9 de mayo del próximo año.
