La importancia del Real decreto ley sobre seguridad en sistemas de información y redes para la prevención y gestión de ciberincidentes
Recientemente, hemos vivido en España una oleada de ciberataques que ha afectado a grandes empresas del país, poniendo en jaque la seguridad de las organizaciones y el desarrollo de su operativa diaria.
No debemos olvidar que, si hoy han tocado empresas privadas alejadas del día a día del ciudadano, mañana pueden ser empresas o instituciones que presten unos servicios que sean fundamentales para el desarrollo de una sociedad, como son instituciones financieras, sanitarias, operadoras de transporte aéreo o ferroviario, entre otras.
No hace falta imaginarnos el tremendo impacto que supondría un ciberataque a cualquiera de esas entidades y sus consecuencias para los ciudadanos: suspensión de los sistemas médicos en hospitales, caos en los servicios de transporte, posibles interrupciones por problemas de coordinación en el uso de las vías ferroviarias, y un largo etcétera de impactos más o menos catastróficos que podemos plantear.
La Directiva NIS
La Unión Europea es consciente de la importancia de proteger a dichas instituciones, debido a la necesidad de la prestación de dichos servicios para la sociedad y sus consecuencias, por lo que en 2016 se publicó la Directiva (UE) 2016/1148, conocida más como “Directiva NIS”, con el fin de impulsar un nivel de seguridad común en la Unión Europea en los sistemas de información y redes sobre los que se presten dichos servicios para la sociedad.
La Directiva fue transpuesta por el Real decreto-ley 12/2018 para establecer determinadas obligaciones en materia de seguridad a dichos prestadores de servicios. Entre las que queremos hacer más hincapié, destacamos la obligación de notificar los incidentes de seguridad a los equipos de respuesta a incidentes de seguridad informática (CSIRT), los cuales funcionan como una red coordinada para dirigir la prevención, gestión y defensa de los ciberincidentes, y comunicarlo a todos los miembros de la red.
Este último elemento es uno de los fines que persigue la norma: coordinar la gestión y respuesta de los incidentes sufridos por los operadores y poder prevenir a los demás equipos, y prestadores de servicios adscritos a estos sobre los incidentes que están ocurriendo a tiempo real.
Es por ello por lo que esta norma es tan importante para gestionar el impacto de los ciberincidentes, para que estos no se propaguen entre el resto de los operadores, y más importante aún, implantarla correctamente para que sea eficaz para cumplir el fin que persigue, y evitar ver casos de “contagios” masivos y las terribles consecuencias que estos pueden acarrear, más allá de las multas que se impongan por el incumplimiento de la Ley.
Desde UBT Legal & Compliance, como expertos en materia de Ciberseguridad, somos conscientes de que el hecho de tener una buena cultura preventiva en materia de cumplimiento normativo es fundamental para que todos podamos tener un plus de confianza en cualquier tipo de institución. ¡Contacta con nosotros e infórmate!
Juan José Gonzalo Domenech. Consultor legal en UBT Legal & Compliance.