La Directiva responde a la voluntad del legislador comunitario de unificar los mecanismos de prevención y respuesta de los Estados miembros frente a un número de incidentes creciente y susceptible de afectar a sectores clave como finanzas, sanidad, energía o transportes.

El pasado mes de julio se publicó la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión (la “Directiva”).

El texto contempla diversas medidas dirigidas a aumentar la colaboración entre los Estados miembros y el intercambio de información sobre ataques informáticos.

En primer lugar, la Directiva impone un deber de comunicar los incidentes de seguridad sufridos por los operadores de servicios esenciales y los proveedores de servicios digitales similar al que tendrán los responsables del tratamiento de datos personales desde mediados de 2018, fecha en la que entrará en vigor el Reglamento 2016/679 de protección de datos.

Así, los Estados miembros deberán elaborar una relación de operadores de servicios esenciales y revisarla al menos cada dos años. Los criterios para determinar si un operador determinado entra en esta categoría son los siguientes: (i) el servicio es esencial para el mantenimiento de actividades sociales o económicas cruciales; (ii) la prestación de dicho servicio depende de las redes y sistemas de información, y (iii) un eventual incidente tendría efectos perturbadores significativos en la prestación de dicho servicio.

Por lo que respecta a los proveedores de servicios digitales, lo serán todos los que presten un servicio digital salvo que (i) suministren redes públicas de comunicaciones o presten servicios de comunicaciones electrónicas disponibles para el público en el sentido de la Directiva 2002/21/CE; o (ii) sean prestadores de servicios de confianza en el sentido del Reglamento (UE) 910/2014.

La definición de estos sujetos obligados es parte de la estrategia nacional de ciberseguridad que todos los Estados miembros han de elaborar, implantar y comunicar al Grupo de cooperación. España ya dio sus primeros pasos en esta tarea a finales de 2013 con la publicación y puesta en marcha de su Estrategia de Ciberseguridad Nacional.

El Grupo de cooperación anteriormente mencionado es otra de las novedades de la Directiva. Compuesto por representantes de los Estados miembros, la Comisión y la Agencia de Seguridad de las Redes y de la Información de la Unión Europea (European Union Agency for Network and Information Security o ENISA), su objetivo es facilitar la cooperación estratégica entre los Estados miembros en esta materia.

Para ello contará también con el apoyo de los distintos organismos de respuesta o CSIRTs (computer security incident response teams), a quienes deberán dirigirse los proveedores obligados a notificar las incidencias que sufran en materia de seguridad informática.

Además de actuar de centro receptor, los CSIRTs desempeñarán labores preventivas mediante la difusión de alertas tempranas, información sobre riesgos e incidentes, o el intercambio de información con otros centros de la red y la ENISA. Los Estados miembros deberán asegurarse de que sus CSIRTs están debidamente capacitados y equipados para hacer frente a los eventuales incidentes y garantizar una cooperación eficaz a escala de la Unión. El primero de estos centros en España se creó en el año 1994 y posteriormente fue seguido por otros como el CCN-CERT –que forma parte del Centro Criptológico Nacional y está adscrito al CNI–, o el CNPIC –específicamente dirigido a la protección de las infraestructuras críticas–.

La Directiva entró en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea. Los Estados miembros disponen hasta el 9 de mayo de 2018 para trasponerla a sus respectivos ordenamientos jurídicos nacionales, mientras que el plazo para identificar a los operadores de servicios esenciales se prolongará durante seis meses más.

La presente publicación no constituye opinión profesional o asesoramiento jurídico de sus autores.