La Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión Europea, conocida como Directiva NIS (por network and information systems) y también como Directiva SRI (por seguridad de las redes y de la información), se adoptó en el marco europeo del desarrollo e implementación de una estrategia de ciberseguridad necesaria para impulsar el Mercado Digital Único, y responde también a la preocupación de los ciudadanos europeos sobre la materia.
La Directiva NIS pone de manifiesto las diferencias sustanciales en los niveles de preparación de los Estados miembros, tal y como se destaca en el considerando 5 de la Directiva, que dan lugar a una fragmentación y que muestran un nivel insuficiente de protección, que es crítico para la Unión Europea al existir puntos débiles, así como ser causa de desigualdades para empresas y usuarios.
La Directiva también resalta la conveniencia de fomentar una cultura de ciberseguridad, tanto en el sector privado como en el sector público, que se centre en la adopción de medidas para gestionar los riesgos a los que quedan expuestas las redes y sistemas de información. En este contexto, la Comisión Europea optó por la aproximación regulatoria proponiendo en 2013 una Directiva cuyo principal objetivo era y es que todos los Estados miembros adoptasen medidas para garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión Europea.
Dado que la Directiva se publicó en el Diario Oficial de 19 de julio de 2016, España debió haberla transpuesto antes del pasado 9 de mayo de 2018. Sin embargo, las peripecias políticas de la pasada legislatura hicieron que no se dispusiera de un texto de Anteproyecto hasta finales de noviembre de 2017. Transcurrida la fecha prevista en la Directiva sin haberse procedido a la transposición, a mediados del pasado mes de julio, la Comisión requirió a España para que lo hiciera. Como consecuencia de esta situación, el Gobierno ha acudido a la vía del Real Decreto-ley, pues, como se indica en la exposición de motivos, su utilización en el presente caso, “queda justificada por la doctrina del Tribunal Constitucional, que, en su Sentencia 1/2012, de 13 de enero, ha avalado la concurrencia del presupuesto habilitante de la extraordinaria y urgente necesidad del artículo 86.1 de la Constitución, cuando concurra el retraso en la transposición de directivas”.
Este Real Decreto-ley se compone de 42 artículos, estructurados en siete títulos, más cuatro disposiciones adicionales y otras cuatro finales.
La exposición de motivos de la norma señala que el real decreto-ley se aplicará a las entidades que presten servicios esenciales para la comunidad y dependan de las redes y sistemas de información para el desarrollo de su actividad. En concreto, su ámbito de aplicación se extiende a sectores que no están expresamente incluidos en la Directiva, para darle a este Real Decreto-ley un enfoque global, aunque se preserva su legislación específica.
Se aplicará, así mismo, a los proveedores de determinados servicios digitales a los que la Directiva 2016/1148 somete a un régimen de armonización máxima, equivalente a un reglamento, pues se considera que su regulación a escala nacional no sería efectiva por tener un carácter intrínsecamente transnacional.
Siguiendo la citada Directiva, el Real Decreto-ley menciona los sectores en los que es necesario garantizar la protección de las redes y sistemas de información, y establece procedimientos para identificar los servicios esenciales ofrecidos en dichos sectores, así como los principales operadores que prestan dichos servicios, que son, en definitiva, los destinatarios de este Real Decreto-ley.
También queda regulado el marco estratégico e institucional de la seguridad de las redes y sistemas de información, las autoridades competentes y sus funciones, los equipos de respuesta a incidentes de seguridad informática (CSIRT), sus requisitos de constitución y funciones, el punto de contacto único a través del Consejo de Seguridad Nacional. Además se dedica un precepto específico a la cooperación entre autoridades públicas, como pilar de un ejercicio adecuado de las diferentes competencias concurrentes sobre la materia. También contiene disposiciones sobre las obligaciones de seguridad de los operadores de servicios esenciales y de los proveedores de servicios digitales, y así se prevé la aplicación preferente de normas sectoriales que impongan obligaciones equivalentes a las previstas en este Real Decreto-ley, sin perjuicio de la coordinación ejercida por el Consejo de Seguridad Nacional y del deber de cooperación con las autoridades competentes.
El Real Decreto-ley regula la obligación de notificar los incidentes que puedan tener efectos perturbadores significativos en los servicios de los operadores de servicios esenciales: las notificaciones voluntarias; los factores para determinar la importancia de los efectos de un incidente; la notificación inicial, las intermedias y la notificación final; los plazos; la tramitación de incidentes con impacto transfronterizo; la obligación de resolver los incidentes, de cooperar en su resolución y de informar al público, así como la protección del denunciante. Puntualiza que el Real Decreto-ley requiere así mismo que los operadores de servicios esenciales y los proveedores de servicios digitales notifiquen los incidentes que sufran en las redes y servicios de información que emplean para la prestación de los servicios esenciales y digitales, y tengan efectos perturbadores significativos en los mismos, al tiempo que prevé la notificación de los sucesos o incidencias que puedan afectar a los servicios esenciales, pero que aún no hayan tenido un efecto adverso real sobre aquellos, y perfila los procedimientos de notificación.
Se disponen también las potestades de inspección y control de las autoridades competentes, tanto sobre los operadores de servicios esenciales como de los proveedores de servicios digitales, así como la cooperación con las autoridades nacionales de otros Estados miembros. Finalmente, en cuanto al régimen sancionador, se tipifican las infracciones y sanciones, en una regulación que apuesta por impulsar la subsanación de la infracción antes que su castigo, el cual, si es necesario dispensarlo, será efectivo, proporcionado y disuasorio.
Imagen: OpenGroup