En un año marcado por la llegada del nuevo Reglamento General de Protección de Datos, la trasposición de la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión, también conocida como “Directiva NIS“, parece haber quedado en un segundo plano junto a la publicación, el pasado 8 de septiembre, del Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información.
Ante esta situación, trataremos de entender en qué consiste y cuáles son las novedades que llegan a nuestro ordenamiento con una normativa que, por su naturaleza de Directiva, debía transponerse para ser aplicable en los Estados miembros.
Conviene recordar que la Directiva NIS se aprobó con el objetivo de asegurar la ciberseguridad de los sistemas y redes esenciales para las actividades económicas y sociales que permiten el funcionamiento del mercado interior.
Para ello, persigue establecer unos requisitos mínimos comunes que garanticen la seguridad de los operadores de servicios esenciales y los proveedores de servicios digitales, con el fin de fomentar una cultura de gestión de riesgos y garantizar la notificación de los incidentes más graves.
En esa dirección, la regulación española transpone la Directiva en coherencia con las obligaciones que se deriven de otras normativas en materia de seguridad de la información, tanto de carácter horizontal como sectorial, estableciendo:
De todo ello se sigue una conjunción de elementos encaminados a detectar, analizar y limitar un incidente, además de poder responder ante éste. Y de ahí nace, justamente, varios deberes de comunicación y notificación, como son:
Precisamente, por la importancia que alberga la notificación en la gestión de riesgos, el Real decreto-ley contempla la confidencialidad de la entidad notificante y el personal que informe sobre incidentes ocurridos. Además, para poder realizar dichas notificaciones se prevé la creación de una plataforma común que permitirá facilitar y agilizar la comunicación de incidentes y que, a su vez, servirá para notificar la vulneración de la seguridad de datos personales.
Con la transposición de la Directiva NIS se presume que el ordenamiento español da un paso adelante para garantizar un elevado nivel de seguridad de las redes y sistemas de información nacionales, adaptándose al compromiso europeo para establecer una protección común y un nivel general de seguridad.
Para valorar su aplicabilidad, deberemos estar pendientes de la evolución que sigue en sus primeros pasos.