Servicios esenciales y protección de datos en el marco NIS

Inicio » Servicios esenciales y protección de datos en el marco NIS

Cuando hablamos de servicios esenciales y protección de datos, ya no nos referimos solo a cumplir con el RGPD o la LOPDGDD de manera aislada. Hoy el foco está en algo mucho más amplio: la seguridad de las redes y sistemas de información que soportan servicios críticos (energía, transporte, agua, sanidad, finanzas, administración pública, etc.) y servicios digitales clave (mercados en línea, buscadores, cloud…). Todo ello bajo el paraguas de la Directiva NIS, su transposición en España y la evolución hacia NIS2.

Este entramado normativo puede parecer un laberinto, pero en realidad persigue una idea sencilla: garantizar un nivel elevado y homogéneo de ciberseguridad en operadores de servicios esenciales y proveedores de servicios digitales, alineando estas obligaciones con las normas de protección de datos personales. Vamos a desgranar, con calma, cómo encaja todo: Real Decreto-ley 12/2018, Real Decreto 43/2021, RGPD, LOPDGDD, principios de tratamiento, obligaciones técnicas, organización interna, notificación de ciberincidentes y la futura Directiva NIS2.

Marco europeo de ciberseguridad: Directiva NIS y evolución hacia NIS2

En el ámbito de la Unión Europea se aprobó la Directiva (UE) 2016/1148 (conocida como Directiva NIS), pensada para asegurar un nivel comúnmente alto de seguridad de las redes y sistemas de información. Esta norma sentó las bases para que los Estados miembros desarrollaran capacidades, fomentaran la cooperación y fijaran requisitos mínimos de seguridad y notificación de incidentes para operadores de servicios esenciales y proveedores de servicios digitales.

La Directiva NIS no se quedó solo en declaraciones de intenciones; definió un enfoque global en materia de ciberseguridad: intercambio de información entre autoridades, coordinación transfronteriza y creación de una red de CSIRT y un grupo de cooperación a nivel europeo. España, como veremos, la ha incorporado a su ordenamiento mediante el Real Decreto-ley 12/2018 y su desarrollo reglamentario, el Real Decreto 43/2021.

Actualmente la Comisión Europea impulsa una actualización profunda de este marco a través de la propuesta de Directiva NIS2. Esta nueva norma amplía notablemente el número de sectores afectados (incluye, por ejemplo, residuos, servicios postales, alimentación, industria manufacturera crítica, plataformas, redes sociales…) y distingue entre entidades esenciales e importantes, dejando atrás la clásica separación entre operadores de servicios esenciales y proveedores de servicios digitales.

Con NIS2 se refuerza todavía más el enfoque basado en riesgos: se exige que las organizaciones adopten una lista mínima de medidas de seguridad (gestión de incidentes, continuidad de negocio, test de ciberseguridad, seguridad en la cadena de suministro, etc.) y que asuman una responsabilidad más clara, con un régimen sancionador reforzado para los incumplimientos graves.

Transposición en España: Real Decreto-ley 12/2018 y Real Decreto 43/2021

La transposición de la Directiva NIS al ordenamiento español se realizó mediante el Real Decreto-ley 12/2018, de 7 de septiembre, sobre seguridad de las redes y sistemas de información. Esta norma fija el marco general: quién está afectado, qué obligaciones de seguridad deben cumplir, cómo debe hacerse la notificación de incidentes, qué autoridades son competentes y cómo se organiza la cooperación nacional e internacional.

Para desarrollar todo este armazón, el Gobierno aprobó posteriormente el Real Decreto 43/2021, que aterriza en detalle el marco estratégico e institucional, define de forma pormenorizada las medidas de seguridad, desarrolla los procedimientos de notificación de ciberincidentes y concreta los mecanismos de supervisión e inspección.

Este reglamento se ha diseñado siguiendo los principios de buena regulación de la Ley 39/2015: necesidad (es el instrumento adecuado para desplegar el RD-ley 12/2018), proporcionalidad (no impone cargas que vayan más allá de lo imprescindible), seguridad jurídica (coherencia con normativa europea y nacional, incluida la de protección de datos), transparencia (ha pasado por trámite de audiencia pública) y eficiencia (no añade cargas adicionales a las previstas en el RD-ley).

En su elaboración se recabó informe de numerosos organismos: Agencia Española de Protección de Datos, CNMC, CNMV, Consejo de Seguridad Nuclear, Banco de España, todos los ministerios y comunidades autónomas implicados, así como organizaciones representativas de los sectores afectados. El resultado es un reglamento que actúa como “puente” entre la ciberseguridad NIS, la protección de infraestructuras críticas, la Seguridad Nacional y el propio RGPD.

Ámbito de aplicación: quién es operador de servicios esenciales y quién proveedor digital

El núcleo de este marco lo forman los operadores de servicios esenciales (OSE) y los proveedores de servicios digitales (PSD). El Real Decreto 43/2021 especifica que la norma se aplica a:

• Servicios esenciales dependientes de redes y sistemas de información, dentro de los sectores estratégicos de la Ley 8/2011 de protección de infraestructuras críticas (energía, transporte, salud, agua, sistema financiero, TIC, alimentación, industria nuclear y química, instalaciones de investigación, espacio, administración, etc.).
• Servicios digitales que sean mercados en línea (marketplaces), motores de búsqueda en línea y servicios de computación en la nube (IaaS, PaaS, SaaS).

En cuanto a los sujetos obligados, se consideran dentro del ámbito:

Por un lado, los operadores de servicios esenciales establecidos en España (domicilio o residencia en España y gestión efectiva centralizada en el país). También se aplican las obligaciones a servicios esenciales prestados en España a través de establecimientos permanentes de operadores con sede en otros Estados.

Por otro lado, se incluyen los proveedores de servicios digitales con sede social en España y establecimiento principal en la UE, así como los que, estando fuera de la UE, designen a un representante en España para el cumplimiento de la Directiva NIS.

Quedan excluidos, entre otros: los operadores de redes y servicios de comunicaciones electrónicas y prestadores de servicios electrónicos de confianza que no sean críticos según la Ley 8/2011, y los proveedores de servicios digitales que sean micro o pequeñas empresas (menos de 50 empleados o facturación inferior a 10 millones de euros, según la Recomendación 2003/361/CE).

Autoridades competentes, CSIRT de referencia y punto de contacto único

La seguridad de servicios esenciales y servicios digitales no se gestiona de forma aislada; se apoya en una arquitectura institucional compleja. El Real Decreto 43/2021 concreta quiénes son las autoridades responsables de supervisar a cada tipo de operador y cómo se coordinan los equipos de respuesta a incidentes (CSIRT).

Como regla general, las autoridades competentes son las recogidas en el artículo 9 del Real Decreto-ley 12/2018. De forma más detallada, para operadores no críticos y no sujetos a la Ley 40/2015, se asignan competencias sectoriales: Ministerio de Transportes para transporte, Transición Ecológica para energía y agua, Asuntos Económicos y Transformación Digital para TIC, Banco de España y CNMV para entidades financieras, Defensa para espacio, Interior para industria química, Ciencia para instalaciones de investigación, Sanidad para el sector salud y parte de alimentación, Agricultura y Consumo (a través de AESAN) para otra parte del sector alimentación, y Transición Ecológica junto con el Consejo de Seguridad Nuclear para industria nuclear.

En paralelo, el reglamento regula la cooperación y coordinación de los CSIRT de referencia (CCN‑CERT, INCIBE‑CERT, ESPDEF‑CERT, etc.). Estos equipos son los responsables técnicos de monitorizar ciberincidentes, emitir alertas, apoyar en la respuesta y compartir información relevante. La cooperación entre CSIRT y autoridades se canaliza a través de la Plataforma Nacional de Notificación y Seguimiento de Ciberincidentes.

En incidentes de especial gravedad (alto impacto o peligrosidad muy alta o crítica, con necesidad de una coordinación superior a la habitual), el CCN‑CERT asume la coordinación nacional de la respuesta técnica, informando inmediatamente al Consejo Nacional de Ciberseguridad.

Además, la Directiva NIS exige que cada Estado disponga de un punto de contacto único para la cooperación transfronteriza. En España esta función recae en el Consejo de Seguridad Nacional, a través del Departamento de Seguridad Nacional. Entre otras funciones, este punto de contacto:

• Notifica a la Comisión Europea y a otros Estados miembros la lista de operadores de servicios esenciales españoles.
• Canaliza la información sobre incidentes con impacto transfronterizo entre los CSIRT nacionales y los de otros países.
• Recopila los informes anuales de las autoridades competentes sobre incidentes notificados y elabora un resumen que se remite al grupo de cooperación europeo.
• Promueve la coherencia entre los requisitos de seguridad y las obligaciones de notificación, coordinándolos con la normativa de protección de datos y con la seguridad pública.

Requisitos de seguridad: políticas, medidas técnicas y Declaración de Aplicabilidad

Uno de los bloques clave del reglamento son las medidas para el cumplimiento de las obligaciones de seguridad. OSE y PSD deben implantar salvaguardas técnicas y organizativas adecuadas y proporcionadas para gestionar los riesgos que afectan a sus redes y sistemas de información, tanto si son propios como si están externalizados en proveedores.

En el caso de los operadores de servicios esenciales, se exige la aprobación de políticas de seguridad que incorporen principios como la seguridad integral, la gestión de riesgos, la prevención, la capacidad de respuesta y recuperación, la defensa en profundidad, la revisión periódica y la segregación de funciones.

Dichas políticas han de cubrir, como mínimo, aspectos como el análisis y gestión de riesgos, los riesgos asociados a terceros y proveedores, un catálogo estructurado de medidas (organizativas, técnicas y físicas), gestión del personal y formación, adquisición de productos o servicios de seguridad, detección y gestión de incidentes, planes de continuidad y recuperación, mejora continua, interconexiones con otros sistemas y registro de la actividad de los usuarios.

El conjunto concreto de medidas se formaliza en la llamada Declaración de Aplicabilidad, documento que reúne todas las salvaguardas que el operador adopta, lo suscribe el responsable de seguridad de la información y se incorpora a la política de seguridad aprobada por la dirección. Debe remitirse a la autoridad competente en el plazo de seis meses desde la designación como operador esencial y revisarse, como mínimo, cada tres años.

Como referencia principal se utiliza el Esquema Nacional de Seguridad (Real Decreto 3/2010, anexo II), especialmente en el sector público, aunque también pueden tenerse en cuenta estándares internacionales de seguridad de la información. Es admisible complementar estas medidas con otras, por ejemplo exigiendo documentos de aplicabilidad a subsistemas concretos en entornos especialmente complejos.

Seguridad y protección de datos personales: encaje con RGPD y LOPDGDD

La seguridad de las redes y sistemas de información tiene una relación directa con la protección de datos personales. El reglamento indica expresamente que, al diseñar las políticas de seguridad, deben tenerse en cuenta los riesgos derivados del tratamiento de datos personales, en la línea del artículo 24 del RGPD sobre responsabilidad proactiva.

Esto significa que, si el análisis de riesgos exigido por el RGPD identifica la necesidad de medidas adicionales respecto de las previstas en el ENS, el responsable del tratamiento deberá implantar esas salvaguardas extra (cifrado reforzado, seudonimización, controles de acceso más estrictos, etc.). Además, los tratamientos de datos ligados a la gestión de incidentes o a la plataforma nacional han de cumplir estrictamente con el Reglamento (UE) 2016/679 y la Ley Orgánica 3/2018.

Los principios clásicos de protección de datos siguen plenamente vigentes: limitación de la finalidad (no reutilizar datos para fines incompatibles con los iniciales), minimización (recoger solo los datos necesarios en función de la finalidad), exactitud (datos actualizados, rectificación o supresión de los inexactos), limitación del plazo de conservación (eliminación o anonimización cuando dejen de ser necesarios) y seguridad (medidas que eviten divulgación, pérdida, destrucción o alteración no autorizadas).

Determinadas organizaciones, por la naturaleza o volumen de sus tratamientos, están obligadas a designar un Delegado de Protección de Datos. Entre ellas, según la LOPDGDD, figuran los colegios profesionales y sus consejos, centros docentes y universidades, operadores de comunicaciones electrónicas que traten datos a gran escala, prestadores de servicios de la sociedad de la información que elaboren perfiles masivos de usuarios, entidades de crédito, aseguradoras, empresas de servicios de inversión, distribuidores de energía y gas, entidades que gestionen ficheros comunes de solvencia o fraude, entidades dedicadas a publicidad y prospección comercial con elaboración de perfiles, centros sanitarios (salvo profesionales que ejercen a título individual), empresas que emiten informes comerciales, operadores de juego online, empresas de seguridad privada y federaciones deportivas que traten datos de menores.

Ejemplo ilustrativo de cómo se integra la protección de datos en servicios esenciales lo encontramos en la gestión del teléfono único de emergencias 1·1·2 Comunitat Valenciana. La Agencia Valenciana de Seguridad y Respuesta a las Emergencias informa de forma detallada sobre sus tratamientos, la base jurídica que los legitima (Ley 13/2010 de Protección Civil y Gestión de Emergencias, Estatuto de Autonomía, Leyes 39/2015 y 40/2015, entre otras), las finalidades (gestión integral de emergencias y comunicaciones), los plazos de conservación y los derechos de las personas, con las peculiaridades propias de un servicio de interés público donde algunos derechos pueden limitarse al amparo del artículo 23 del RGPD.

Responsable de la seguridad de la información en operadores esenciales

Todo operador de servicios esenciales debe designar un responsable de la seguridad de la información, que puede ser una persona física, una unidad o un órgano colegiado (en este último caso, con un representante y un sustituto identificados). Esta designación debe producirse en el plazo máximo de tres meses desde que la entidad es reconocida como operador esencial.

Esta figura actúa como punto de contacto y coordinación técnica con la autoridad competente y el CSIRT de referencia. Sus responsabilidades incluyen, entre otras, proponer y elaborar las políticas de seguridad, supervisar su implantación y eficacia, redactar la Declaración de Aplicabilidad, promover buenas prácticas de ciberseguridad, canalizar la notificación de incidentes significativos y gestionar la comunicación con la autoridad en procesos de supervisión o inspección.

Desde el punto de vista organizativo, el operador debe garantizar que el responsable de seguridad de la información cuenta con conocimientos especializados y experiencia en ciberseguridad (tanto técnicos como organizativos y jurídicos), con los recursos necesarios para desempeñar su función, con autonomía respecto a los responsables directos de sistemas y redes, y con acceso real a la alta dirección.

Siempre que se cumplan los requisitos de independencia y cualificación, es posible compatibilizar estas funciones con otras figuras ya existentes, como el Responsable de Seguridad del ENS o el Responsable de Seguridad y Enlace previsto en la Ley 8/2011 de infraestructuras críticas, lo que facilita integrar varios marcos normativos en una gobernanza unificada de la seguridad.

Gestión de ciberincidentes y obligaciones de notificación

En materia de incidentes, la norma establece una clara distinción entre gestión interna de incidentes y obligación de notificar a las autoridades. OSE y PSD están obligados a detectar, gestionar y resolver los incidentes de seguridad que afecten a sus redes y sistemas. Si los sistemas son de terceros, deberán asegurarse contractualmente de que el proveedor cumple estas mismas obligaciones.

Cuando el incidente pueda tener efectos perturbadores significativos en la prestación del servicio esencial (con niveles de impacto crítico, muy alto o alto) o cuando, pese a no haberse materializado todavía un daño real, presente un nivel de peligrosidad crítico, muy alto o alto para las redes y sistemas, el operador debe comunicarlo a su CSIRT de referencia y a la autoridad competente mediante la Plataforma Nacional de Notificación y Seguimiento de Ciberincidentes.

La instrucción nacional de notificación y gestión de ciberincidentes, anexa al reglamento, define una taxonomía detallada de tipos de incidente (contenido abusivo, malware, obtención ilícita de información, intentos de intrusión, intrusiones consumadas, ataques de denegación de servicio, sabotaje, accesos no autorizados a información, fraude, vulnerabilidades, APT, etc.) y asigna a cada uno un nivel de peligrosidad y de impacto, determinando así qué incidentes son de notificación obligatoria.

Se exige una secuencia de notificaciones: una inicial tan pronto como se detecte que se cumplen los umbrales de peligrosidad o impacto, notificaciones intermedias para ir actualizando la información mientras el incidente esté en curso, y una notificación final tras la resolución, describiendo la evolución, probabilidad de repetición y medidas correctivas adoptadas. La ventana temporal depende de la gravedad: para incidentes críticos, la notificación inicial debe ser inmediata, la intermedia entre 24 y 48 horas y la final en un plazo máximo de 20 días; para incidentes muy altos, la intermedia se amplía a 72 horas y la final a 40 días.

La información mínima a proporcionar incluye asunto, identificación del operador, sector, fecha y hora del incidente y de su detección, descripción técnica, recursos afectados, causa (si se conoce), clasificación según la taxonomía, niveles de peligrosidad e impacto, posible afectación a otros Estados miembros, acciones realizadas y contramedidas, alcance geográfico, medios necesarios para la resolución (en jornadas-persona), impacto económico estimado, daños reputacionales y si se requiere actuación de Fuerzas y Cuerpos de Seguridad.

Plataforma Nacional de Notificación y Seguimiento de Ciberincidentes

La gestión de toda esta información se articula mediante la Plataforma Nacional de Notificación y Seguimiento de Ciberincidentes. Desarrollada por el CCN‑CERT en colaboración con INCIBE‑CERT y ESPDEF‑CERT, está disponible 24/7 y permite el intercambio seguro de información entre operadores, autoridades competentes y CSIRT de referencia.

La plataforma debe garantizar la disponibilidad, autenticidad, integridad y confidencialidad de la información que se intercambia, y dispone de capacidades específicas para:

• Registrar y gestionar incidentes con su taxonomía y criticidad.
• Notificar y seguir vulnerabilidades detectadas.
• Compartir información sobre ciberamenazas y análisis de muestras.
• Intercambiar datos de forma masiva cuando sea necesario.
• Generar estadísticas e informes agregados, útiles tanto a nivel operativo como estratégico.

Las autoridades competentes acceden a través de esta plataforma a toda la información relevante de los incidentes en su ámbito, pudiendo monitorizar su evolución en tiempo real y elaborar los informes que, posteriormente, se remiten al Consejo de Seguridad Nacional y a la Comisión Europea.

Es importante remarcar que la notificación a través de esta plataforma no sustituye otras obligaciones sectoriales. Por ejemplo, si el incidente constituye una violación de seguridad de datos personales, el responsable del tratamiento deberá, además, notificarlo a la Agencia Española de Protección de Datos conforme al artículo 33 del RGPD. La propia AEPD puede acceder a la plataforma, lo que facilita la coordinación entre ciberseguridad y protección de datos.

Colaboración con Fuerzas y Cuerpos de Seguridad y otras autoridades

Cuando un incidente pudiera tener carácter presuntamente delictivo, la Oficina de Coordinación de Ciberseguridad (OCC) del Ministerio del Interior debe comunicarlo sin demora al Ministerio Fiscal y, en su caso, a las unidades de Policía Judicial competentes, trasladando toda la información de la que disponga. Para ello puede requerir datos adicionales a los operadores afectados y a los CSIRT de referencia.

Las consultas relacionadas con seguridad pública y seguridad ciudadana se realizan también a través de la OCC, mientras que sobre otras materias (por ejemplo, coordinación con autoridades de protección de datos o de supervisión financiera), la comunicación se dirige directamente a la autoridad competente correspondiente.

El propio reglamento contempla situaciones específicas, como el régimen particular del Banco de España (por su independencia, su participación en el Sistema Europeo de Bancos Centrales y el Mecanismo Único de Supervisión) o la dependencia de proveedores externos sujetos a la disposición adicional novena de la Ley 34/2002 de servicios de la sociedad de la información. En estos casos se determina qué CERT (CCN‑CERT o INCIBE‑CERT) actúa como competente para coordinar la gestión de incidentes en dichos proveedores.

Asimismo, se prevé que los CSIRT de referencia informen a la Secretaría de Estado de Economía y Apoyo a la Empresa de aquellos incidentes que puedan tener efectos perturbadores significativos en los servicios esenciales del sistema financiero, atendiendo a los umbrales de criticidad definidos.

Supervisión, inspecciones y régimen sancionador

Para que todo esto no se quede en papel mojado, las autoridades competentes cuentan con poderes de supervisión e inspección sobre los operadores de servicios esenciales y proveedores de servicios digitales. Entre sus funciones se incluye comprobar el cumplimiento de las normas e instrucciones técnicas aplicables, verificar que el responsable de seguridad de la información desempeña correctamente sus funciones, y revisar la política de seguridad y la Declaración de Aplicabilidad.

Cuando el volumen o la complejidad de la revisión lo aconseje, la autoridad puede requerir al operador un informe de auditoría externa sobre la seguridad de sus redes y sistemas, elaborado por una entidad independiente y solvente. Los CSIRT de referencia pueden apoyar técnicamente estas inspecciones, evaluando la idoneidad de las medidas adoptadas.

El cumplimiento de determinadas medidas puede acreditarse mediante la certificación en esquemas de seguridad reconocidos, siempre que hayan sido validados por la autoridad competente, lo que facilita demostrar la diligencia debida y la implantación efectiva de controles.

En caso de incumplimientos, el Real Decreto-ley 12/2018 prevé un régimen sancionador con infracciones leves, graves y muy graves, y multas que pueden llegar hasta el millón de euros en los supuestos más serios (por ejemplo, incumplimiento reiterado de obligaciones de notificación de incidentes o vulneración grave de los requisitos de seguridad).

Este entramado de seguridad de redes, servicios esenciales y protección de datos personales configura un escenario en el que las organizaciones no solo deben “tener papeles”, sino demostrar con hechos y evidencias que conocen sus riesgos, aplican medidas adecuadas, forman a su personal, supervisan a sus proveedores, reaccionan ante los incidentes y cooperan con las autoridades. Todo ello redunda en una mayor resiliencia frente a ciberamenazas y en una mejor garantía de los derechos y libertades de las personas cuyos datos se tratan a gran escala en estos servicios críticos.