Nuevo Reglamento de Desarrollo de la Ley NIS: un nuevo paso en la seguridad de la información

Después de varios meses de espera, por fin, la semana pasada, vio la luz  el nuevo Reglamento de Desarrollo del RD Ley 12/2018 sobre redes y sistemas de información a través del Real Decreto 43/2021, de 26 de Enero.

Primeramente, pongámonos un poco en contexto. En 2016 se publicó una Directiva, de protección de las redes y sistemas de información (NIS en sus siglas en inglés) que fue traspuesta en la normativa española con el RD Ley antes mencionado. Esta regulación parte de la base de la identificación por parte de la Comisión Europea de ciertos sectores cruciales para el buen funcionamiento económico y social de los diferentes países de la Unión Europea.

En relación a esto, desde hace unos años, hemos visto como la preocupación por la ciberseguridad crecía a lo largo y ancho de toda la Unión Europea. Este sentimiento se ha visto ampliado, quizás exponencialmente debido al contexto de pandemia global que nos ha tocado vivir, puesto que, de un día para otro casi literalmente, hemos pasado a depender en gran medida de las redes y sistemas de información.

Debido al carácter transnacional de las operaciones, una perturbación grave de esas redes y sistemas sea o no deliberada, y con independencia del lugar en que se produzca, puede afectar a diferentes Estados miembros y a la Unión en su conjunto. Este tipo de incidentes pueden interrumpir las actividades económicas, generar considerables pérdidas financieras, menoscabar la confianza del usuario y causar grandes daños a la economía de la Unión.

Es por ello, que este Reglamento de Desarrollo fuese esperado ya que el RD Ley de trasposición dejó algunos huecos pendientes de rellenar que dificultaba a los operadores la realización de tareas y actividades para dar cumplimiento a la Normativa NIS.

¿Qué similitudes y diferencias existen con la conocida Ley PIC?

En este punto, y antes de pasar a enumerar las novedades de este reglamento, creemos conveniente mencionar las similitudes y diferencias entre esta normativa y la Ley de Protección de Infraestructuras Críticas (Ley PIC). Es probable que a más de uno este mensaje de sector esencial para el funcionamiento del país le suena conocido y precisamente esta es la similitud principal que comparten ambas legislaciones, puesto que el objetivo es exactamente el mismo, proteger aquellos sectores y actores que son claves para la adecuada marcha del país. De hecho, la normativa NIS toma como referencia para identificar los sectores esenciales de los cuales saldrán los operadores al listado establecido por la Ley PIC.

Sin embargo, lo que se ha buscado con esta regulación y es donde empiezan las diferencias entre una y otra, es potenciar el enfoque dado a la ciberseguridad. En la Ley PIC, la ciberseguridad era solo una pata de revisión más; sin embargo, en la Ley NIS se le ha dado un especial protagonismo  convirtiéndola en el jugador único y estrella principal. Como comentábamos antes, años de ciberataques hicieron darse cuenta a la Unión Europea de la necesidad de establecer una regulación específica sobre esta materia, aterrizando más el nivel de detalle que existía antes, al menos a nivel normativo, respecto a los requisitos de seguridad en redes y sistemas de la información existentes en las compañías.

¿Has abordado ya las consecuencias de la normativa NIS?

¿Qué incluye el Reglamento de Desarrollo de la NIS?

Ahora sí, tras haber establecido un breve contexto del origen y situación de esta normativa, a continuación, vamos a indicar las novedades más destacadas según lo dispuesto en el recientemente publicado Reglamento de Desarrollo:

  • Responsable de Seguridad:

    • En el RD Ley ya existía la mención a la necesidad de nombrar un Responsable de Seguridad, pero es ahora cuando tenemos el detalle de sus funciones, entre las cuales destacan:
      • Punto de contacto único y coordinación con las autoridades competentes, tanto para la evaluación de las medidas de seguridad implantadas como para la notificación de posibles incidentes.
      • Elaborar y proponer para su aprobación dentro de la Compañía las políticas de seguridad necesarias para el cumplimiento de esta normativa (establecido en el art. 6.2 del Real Decreto).
      • Supervisión de la aplicación y revisión tanto de las políticas como de las medidas de seguridad.
      • Elaborar el documento de Declaración de Aplicabilidad con las medidas de seguridad.
      • Se abre la posibilidad de que este Responsable sea asesorado y reciba soporte por parte de un tercero experto.
  • Políticas de seguridad:

      • Como hemos mencionado en el punto anterior, los operadores de servicios esenciales designados como tal deberán aprobar unas políticas de seguridad de redes y sistemas de información que incluyan, como mínimo, los aspectos mencionados en el art. 6.2 a) del Real Decreto, donde encontramos por ejemplo la mención a los análisis y gestión de riesgos, la gestion de incidentes o los planes de recuperación y aseguramiento de la continuidad.
  • Medidas de Seguridad:

      • En el RD-Ley ya se mencionaba el Esquema Nacional de Seguridad para dictar instrucciones y guías por parte de las Autoridades competentes, pero en este Real Decreto se incluye una mención específica al ENS y otros estándares de seguridad reconocidos internacionalmente como referencia para la adopción de medidas de seguridad adecuadas y proporcionales en las redes y sistemas de información correspondientes, lo que nos coloca en la senda, no tanto de inventar la rueda respecto al catálogo de Medidas que deberemos incluir en la Declaración de Aplicabilidad como de hacer una labor de análisis de lo existente y estudio de su posible adaptación a los nuevos requerimientos.
  • Obligaciones de seguridad a terceros:

      • Se incluye como contenido obligatorio de la Política de Seguridad la mención a la gestión de terceros, así como se debe garantizar que los proveedores externos tomen las medidas necesarias cuando las redes y/o sistemas de información aplicables sean suyos o sean gestionados por ellos. Este es un punto importante, ya que al igual que en otras regulaciones como el GDPR, se impone un nivel de responsabilidad a nivel regulatorio sobre las Compañías respecto a sus proveedores críticos en materia de redes y sistemas de información.
  • Certificado de Cumplimiento:

      • Otra novedad es que se permite mostrar el Cumplimiento a través de la certificación en un esquema de Seguridad validado/reconocido por la autoridad competente.
    • Informe de Auditoría:
      • En el caso de que la Compañía esté siendo revisada por la autoridad competente, para determinados casos debido a su tamaño o complejidad, ésta podrá pedir a la empresa un Informe de Auditoría presentado por una entidad externa e independiente.

Implicaciones del Reglamento de Desarrollo de la NIS

Como hemos visto, no son pocos ni de escasa importancia los cambios propuestos en este Reglamento de Desarrollo, sumados a los ya cambios o requerimientos provenientes del RD Ley, lo que hacen que debamos incluir esta normativa dentro de nuestro radar.

Esto cobra especial relevancia si ya hemos sido notificados como Operador esencial puesto que, para algunos casos, como el nombramiento del Responsable de Seguridad, los plazos son muy breves. De esta manera, desde KPMG somos conscientes de que las compañías afectadas por la Ley NIS han venido trabajando en los últimos meses en el cumplimiento de la misma.

No obstante, y de manera complementaria, la visión de KPMG es que  tanto este Reglamento de Desarrollo como el RD Ley de 2018, ofrecen perspectivas muy interesantes en cuanto a la regulación de Ciberseguridad en los sectores esenciales que las compañías implicadas deberán tener en cuenta.