Directiva NIS y Esquema Nacional de Seguridad

Blog

23
- Enero
2018
Publicado por: Javier Tallón
[Casos de ciberseguridad]
Directiva NIS y Esquema Nacional de Seguridad

Infraestructuras críticas y CNPIC

En los últimos años, determinados sectores de actividad o infraestructuras que proporcionan servicios esenciales, de importancia vital para la continuidad de las funciones de los estados, se han convertido en objetivos de diversos ataques. A nadie se le escapa que existe una gran dependencia de determinadas infraestructuras cuya interrupción o destrucción tendría un enorme impacto en la salud, la seguridad o el bienestar económico de los ciudadanos. Dichas infraestructuras se han convertido en un objetivo prioritario de las estrategias de seguridad estatales, apareciendo el concepto de "infraestructura crítica".

El desarrollo y aplicación de diferentes normas legislativas nacionales y europeas hizo que en España se pusiera en marcha un Plan Nacional para la protección de las Infraestructuras Críticas (PNPIC), que da lugar a la creación del Centro Nacional para la Protección de las Infraestructuras Críticas (CNPIC). El CNPIC es el encargado de impulsar y coordinar los mecanismos necesarios para garantizar la seguridad de las infraestructuras críticas. Esto vino acompañado de la creación de El Catalogo Nacional de Infraestructuras Críticas, conteniendo la lista actualizada y contrastada sobre la totalidad de las infraestructuras estratégicas en el territorio nacional: su ubicación, titularidad, servicio que presta, nivel de seguridad que precisan, etcétera. Esta lista será calificada como SECRETA, dada la alta sensibilidad para la seguridad nacional de la información contenida en dicho Catálogo.

El Catalogo comprende más de 3.500 instalaciones e infraestructuras sensibles dentro de diversas áreas estratégicas. Inicialmente, el Catálogo incluía únicamente infraestructuras relacionadas con sectores de energía y transporte, si bien se ha ido ampliando el conjunto de sectores considerados infraestructuras críticas, desde su creación.

Infraestructuras TIC y Directiva NIS

A nivel europeo, la UE también ha ido dando pasos para garantizar una mayor seguridad en las redes y sistemas de información. En febrero de 2013 se publicó la Estrategia de Ciberseguridad de la Unión Europea (Cybersecurity Strategy of the European Union: an Open, Safe and Secure Cyberspace). Este documento comprende los aspectos del mercado interior, justicia y política exterior relacionados con el ciberespacio. La estrategia de ciberseguridad y la propuesta de Directiva sirven de apoyo a la Agenda Digital para Europa, cuyo objetivo es ayudar a los ciudadanos y empresas europeos a aprovechar al máximo las tecnologías digitales.

Esta estrategia se complementa con la "Directiva del Parlamento Europeo y del Consejo relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información de la Unión" (Directiva (UE) 2016/1148), conocida como Directiva NIS, que entró en vigor el 6 de Julio de 2016.

Según la Directiva NIS, las capacidades existentes no son suficientes para garantizar un elevado nivel de seguridad de las redes y sistemas de información en la Unión Europea. Los niveles de preparación de los Estados miembros son muy distintos, dándose niveles desiguales de protección de los consumidores y las empresas comprometiendo el nivel general de seguridad de las redes y sistemas de información de la Unión. Por este motivo, establece requisitos mínimos comunes en materia de desarrollo de capacidades y planificación, intercambio de información, cooperación y requisitos comunes de seguridad para los operadores de servicios esenciales y los proveedores de servicios digitales. Como parte de esta estrategia, se insta a los proveedores de servicios a adoptar las medidas oportunas para gestionar los riesgos en seguridad y notificar los incidentes que tendrían un efecto perturbador significativo a las Autoridades Nacionales Competentes, proponiendo la creación de una red de cooperación entre todos los diferentes Estados Miembros.

Transposición de la directiva NIS en España

El 7 de septiembre de 2018 se aprobó el Real Decreto-ley para la transposición de la Directiva NIS europea sobre ciberseguridad. Se aplicará a entidades que presten servicios esenciales para la comunidad y dependan de las redes y sistemas de información para el desarrollo de su actividad. Su ámbito de aplicación se extiende a sectores que no están expresamente incluidos en la Directiva para darle a este Real Decreto-ley un enfoque global, aunque se preserva su legislación específica. La nueva normativa se aplicará, asimismo, a los proveedores de determinados servicios digitales.

El principal impacto de la transposición de la directiva NIS es que se han incorporado sectores adicionales al Catálogo de Nacional de Infraestructuras críticas. Actualmente, los sectores que se encuentran en le Catálogo son los siguientes:

  • Energía
  • Industria nuclear
  • Sector TIC
  • Agua
  • Alimentación
  • Salud
  • Sistema Financiero
  • Transporte
  • Industria química
  • Espacio
  • Investigación
  • Administración

Por otro lado, el Real Decreto-ley exige a los operadores de servicios esenciales y a los proveedores de servicios digitales que notifiquen los incidentes significativos que sufran en las redes y servicios de información usados para prestar de los servicios esenciales y digitales. La norma protege a la entidad notificante y al personal que notifique sobre incidentes ocurridos, reservándose la información confidencial de su divulgación al público o a otras autoridades distintas de la notificada.

Directiva NIS y Esquema Nacional de Seguridad

La transposición de la Directiva NIS persigue impulsar el desarrollo del mercado interior a través de la mejora del nivel de seguridad en las redes y sistemas de información que sustentan la prestación de los servicios esenciales y servicios digitales. En este sentido, se están realizando esfuerzos para alinear las medidas que impone la Directiva NIS con la estrategia general adoptada mediante el desarrollo y aplicación del Esquema Nacional de Seguridad (ENS) que se viene realizando durante los últimos años en las administraciones públicas y empresas del sector privado que les proveen de servicios TIC.

Esta alineación de esfuerzos entre Directiva NIS y ENS se verá reflejado en la publicación en un futuro próximo de un paquete o módulo de medidas adicionales del ENS orientadas al cumplimiento de la directiva NIS, tal y como se anunció en el evento del CCN-CERT en la charla Convergencia de la normativa NIS con la PIC , impartida por Fernando Sánchez, director del CNPIC. A través de este paquete NIS-ENS, se facilitará el cumplimiento de los requisitos de ambas normas mediante la incorporación de una serie de medidas adicionales a las ya existentes dentro del Esquema Nacional de Seguridad que, una vez implantadas, servirán también para el cumplimiento de la Directiva NIS.

tags
Javier Tallón/Director Técnico

Consultor experto del estándar de seguridad Common Criteria y de otros muchos estándares de seguridad dentro de las tecnologías de la información (FIPS 140-2, ITSEC, ISO 27K1, SOC 2, ENS,...). Javier ha trabajado como evaluador de seguridad en los mayores laboratorios nacionales y como consultor ha acompañado a diversas compañías en sus procesos de certificación de la ciberseguridad. Ha sido ponente en diversas conferencias en materia de seguridad informática y certificación (SuperSec, Cybercamp, Navaja Negra, International Common Criteria Conference, International Cryptographic Module Conference, EUCyberact Conference), es profesor del máster de Ciberseguridad de la UGR y está certificado CISSP (Certified Information Systems Security Professional) y OSCP/OSCE (Offensive Security Certified Professional & Certified Expert).

En 2015 comienza a sentar las bases de lo que será jtsec. Actualmente ejerce las labores Director Técnico del laboratorio de evaluación y Jefe de Operaciones (COO) de la oficina de Granada desde donde la empresa desarrolla la mayor parte del trabajo. Reconocido experto en diversas disciplinas de ciberseguridad (reversing, exploiting, web, …), asume la dirección técnica de la mayoría de los proyectos, dirigiendo y organizando el trabajo del equipo. Además lidera el área de Investigación y Desarrollo, fomentando la participación del equipo de jtsec en múltiples Congresos.


Contacto

¡Envíanos tus dudas o sugerencias!

Al enviar tus datos nos permites que los usemos para resolver tus dudas enviándote información comercial de tu interés. Los suprimiremos cuando dejen de ser necesarios para esto. Infórmate de tus derechos en nuestra Política de Privacidad.
ÚLTIMAS ENTRADAS
Cómo entrar en Categoría ENS Alta, mantenerse en Catálogo y añadir nuevas versiones de mi producto
Abril 23, 2024
Cómo entrar en Categoría ENS Alta, mantenerse en Catálogo y añadir nuevas versiones de mi producto
jtsec - Nuestro LINCE 2023
Febr 6, 2024
jtsec - Nuestro LINCE 2023
Les deseamos un feliz y ciberseguro 2024
Dic 19, 2023
Les deseamos un feliz y ciberseguro 2024
¿Cómo preparar tus productos y servicios para la era cuántica y asegurar su certificación?
Dic 14, 2023
¿Cómo preparar tus productos y servicios para la era cuántica y asegurar su certificación?
Cómo incluir tu producto o servicio en ENS ALTA.
Oct 31, 2023
Cómo incluir tu producto o servicio en ENS ALTA.
Las certificaciones y metodologías de ciberseguridad despiertan interés a empresas y organismos a nivel nacional e internacional.
Sept 19, 2023
Las certificaciones y metodologías de ciberseguridad despiertan interés a empresas y organismos a nivel nacional e internacional.
ENS & CPSTIC – Juntos somos más fuertes
Ago 23, 2023
ENS & CPSTIC – Juntos somos más fuertes
Nueva metodología evaluación criptográfica creada por CCN, ¿cómo aplica y en qué consiste?
Mayo 9, 2023
Nueva metodología evaluación criptográfica creada por CCN, ¿cómo aplica y en qué consiste?
jtsec obtiene la certificación ENS Alta.
Mayo 1, 2023
jtsec obtiene la certificación ENS Alta.
Common Criteria Statistics Report para 2022
Marzo 20, 2023
Common Criteria Statistics Report para 2022
CATEGORÍAS