Tal y como se informó el pasado 21 de julio de 2016 en la web del Departamento, acerca de la publicación de la Directiva NIS en el Boletín Oficial de la Unión Europea, el 9 de agosto ha entrado en vigor la citada Directiva que supondrá importantes implicaciones para los Estados Miembros.
La Directiva NIS establece los requisitos mínimos comunes que deben cumplir todos los Estados miembros (EEMM) en materia de seguridad en las redes y de la información por lo que debe aplicarse, sin perjuicio de las acciones emprendidas por los EEMM para salvaguardar sus funciones estatales esenciales, en particular, aquellas dirigidas a salvaguardar la Seguridad Nacional, y las de mantenimiento del orden público, en particular las dirigidas a la investigación, la detección y el enjuiciamiento de infracciones penales.
LA DIRECTIVA OBLIGA A:
- Identificar y comunicar a la Comisión los operadores de servicios esenciales y los proveedores de servicios digitales de los Estados Miembros.
- Comunicar y notificar a la Comisión incidentes con efecto perturbador significativo (incidentes de ciberseguridad que tengan efectos significativos). A escala nacional, se establece de obligado cumplimiento por parte de los operadores de servicios esenciales y de proveedores de servicios digitales, la notificación a la/s Autoridad/es Competente/s o CSIRT nacionales aquellos incidentes de ciberseguridad que tengan efectos significativos, es decir, aquellos que afecten a la continuidad de los servicios esenciales que prestan.
- Desarrollar y comunicar a la Comisión la Estrategia nacional de seguridad de las redes y sistemas de información.
- Definir un marco de gobernanza que se coordine con las estructuras europeas de manera que pueda aplicarse la Directiva. Establece cierta flexibilidad para que los EEMM adapten sus estructuras organizativas existentes, cumpliendo los siguientes requisitos mínimos:
- Designar una o más AUTORIDADES COMPETENTES. Esta/s serán las competentes de supervisar la aplicación de la Directiva a escala nacional, además, estará/n facultada/s para adoptar directrices nacionales sobre las circunstancias en las que los operadores de servicios esenciales y proveedores de servicios digitales deben notificar incidentes.
- Designar un único PUNTO DE CONTACTO ÚNICO nacional que se encargue de coordinar las cuestiones relacionadas con la Directiva y de la cooperación transfronteriza a escala de la Unión.
- Designar uno o varios EQUIPOS DE RESPUESTA A INCIDENTES DE SEGURIDAD INFORMÁTICA (CSIRT), responsables de la gestión de incidentes.
- Cooperación a escala nacional. La estructura nacional designada deberá cooperar con respecto al cumplimiento de las obligaciones establecidas en la Directiva. (Notificaciones sobre incidentes, informar al punto de contacto…)
- Cooperación a escala internacional.
- Establecimiento de una RED DE CSIRT. En la cual los EEMM intercambiarán información sobre servicios, operaciones y capacidades de cooperación.
- Creación del GRUPO DE COOPERACIÓN. Formado por representantes de los EEMM, la Comisión y la Agencia de Seguridad las Redes y de la Información de la Unión Europea (ENISA). El apoyará y facilitará la cooperación estratégica, el intercambio de información y buenas prácticas y evaluará las capacidades y el grado de preparación de los EEMM en lo que se refiere a la aplicación de la Directiva.
- Establecer el régimen de sanciones. Cada EEMM establecerá el régimen de sanciones aplicables en caso de incumplimiento de las disposiciones nacionales aprobadas, asimismo adoptará todas las medidas necesarias para garantizar su aplicación. Además, cada EEMM deberá comunicar el régimen y las medidas a la Comisión así como toda modificación que realice sobre las mismas.
- Transposición. Los Estados miembros adoptarán y publicarán, las disposiciones legales, reglamentarias y administrativas necesarias para dar cumplimiento a lo establecido en la Directiva e informarán de ello inmediatamente a la Comisión. Para ello dispondrán de 21 meses desde su adopción.
Descarga la Directiva NIS en español aquí.