La Directiva NIS hace imprescindible la calificación de seguridad

Con la publicación el 30 de enero del Reglamento de Ejecución 2018/151 de la Comisión, se establecen las medidas técnicas y organizativas que los proveedores de servicios digitales ( aka. buscadores, servicios en la nube y marketplaces) deben adoptar para cumplir con el artículo 16 de la conocida como Directiva NIS (2016/1148).

Análisis del Reglamento de Ejecución

Se trata de un documento muy sencillo que contiene solamente 5 artículos, de los cuales, descontando el objeto y la entrada en vigor, nos quedan 2 artículos dedicados a cómo evaluar el impacto de los incidentes a efectos de notificación y 1 [si, uno, han leído bien] a las medidas que han de establecer los proveedores de servicios digitales (el artículo 2. Elementos de seguridad) sobre el que trata esta entrada.

Las obligaciones que este artículo incluye para este tipo de proveedores en Europa son los siguientes:

1. Realizar una gestión sistemática de redes y sistemas de información, creando políticas de seguridad “adecuadas”, incluyendo un análisis de riesgos.
2. Establecer medidas de seguridad física y del entorno con un enfoque basado en los riesgos.
3. Asegurar el abastecimiento de suministros para poder seguir prestando el servicio.
4. Controlar el acceso físico y lógico a las redes y sistemas.
5. En relación a la gestión de incidentes: contar con procesos y procedimientos de detección, de notificación y de respuesta evaluando su gravedad (incluye la detección de deficiencias y vulnerabilidades)
6. Establecer planes de contingencias y capacidades de recuperación en caso de catástrofe (y realizar pruebas de que funcionan)
7. Realizar pruebas periódicas de que los sistemas y redes están funcionando cómo se hubiera previsto.
8. Finalmente, los proveedores deberán tener documentación disponible para permitir que la autoridad verifique la conformidad con los elementos anteriores.

Efectos en los proveedores de servicios digitales

Ninguna. La vida sigue igual. Bueno, no, al menos tendrán que asegurarse de tener un sistemas de gestión de la seguridad de la información implementado (que no certificado). 

Conclusiones para los usuarios de servicios digitales

Lamentamos comunicarles que los órganos de gobierno de la UE les ha dejado solos:

Si quieren asegurar que los servicios digitales que utilizan son suficientemente seguros para el uso que le van a dar, van a tener que requerir a sus proveedores que se califiquen o utilicen mecanismos similares para conocer su verdadero nivel de seguridad.

Y es que la entrada en vigor de la Directiva NIS no va a suponer ningún cambio a la situación actual. Es triste comprobar como todas las esperanzas que habíamos puesto en esta Directiva cuándo declaraba que se aprobaba “con el objeto de lograr un elevado nivel común de seguridad de las redes y sistemas de información dentro de la Unión” se desvanecen con el Reglamento publicado.

Este Reglamento está vacío. No obliga a nada. Cualquier cosa vale para decir que se cumple con él.

¿Podemos pensar que los servicios digitales van a ser más seguros tras su entrada en vigor? NO

¿Podemos pensar en alguna ventaja para los proveedores europeos frente al resto? NO

¿Podemos pensar que al menos existe un marco para exigir más medidas a los proveedores? NO

Entonces, ¿para qué se publica? Para decir que se ha publicado y aparentar que se está haciendo algo en materia de ciberseguridad.

Por tanto, como les decíamos en el título, este Reglamento hace imprescindible la calificación de seguridad como LA MEJOR herramienta para conocer el nivel de seguridad de los servicios digitales.