La próxima activación de los dos dispositivos reguladores de 2016 para la ciberseguridad y la protección de datos, prevista para mayo de 2018, exige una reflexión sobre la lógica compleja y las intersecciones de aplicaciones subyacentes que podrían conducir a una revolución en el mercado digital nacional y europeo tal como lo conocemos. El escenario cuantitativo de los ataques señala tendencias preocupantes: el 80 por ciento de las empresas europeas sufrieron al menos un incidente de ciberseguridad en 2015 y el mismo año El número de incidentes de seguridad para todas las industrias del mundo ha crecido un 38 por ciento. Para 2016-2017, el Informe CLUSIT nos informa que la tendencia es dramáticamente peyorativa. En este escenario intervienen la Directiva de la UE 2016/1148 de 6 de julio de 2016 (por brevedad NIS, seguridad de redes y sistemas de información) y el Reglamento General de Protección de Datos (Gdpr) para regular por un lado el alcance de la economía digital más seriamente expuesto debido a las consecuencias de los ciberataques, el de las denominadas 'infraestructuras críticas' con las que los proveedores de soluciones digitales están relacionados con obligaciones y sanciones relacionadas; por otro lado, el relativo a los datos 'personales' en poder de organizaciones, empresas, despachos profesionales, etc. hoy revisado a la luz del mercado de datos también relacionado con la obligación de la ciberdefensa. En primer lugar, venimos a resumir las lógicas de implementación de Nis: plazos, sujetos de implementación, habilidades y tipos de sujetos corporativos a los que conducirán las obligaciones de cumplimiento, es decir, operadores de servicios esenciales y proveedores de servicios digitales.
En primer lugar, mencionamos los plazos: la Directiva NIS ha estado en vigor desde agosto 2016 y pendiente de implementación por parte de los estados miembros de la UE; los estados miembros tienen 21 meses para tomar las medidas de implementación necesarias en la legislación nacional y 6 meses adicionales para identificar a los operadores de las infraestructuras críticas nacionales; la fecha límite para la implementación es 9 May 2018, en la transición, el grupo de cooperación y la red CSIRT están operando desde 9 February 2017. Debe tenerse en cuenta de inmediato el papel fundamental del grupo de cooperación que debe tener / debería ayudar a los Estados miembros para la identificación de los operadores de servicios esenciales y los efectos negativos durante un período de tiempo sólo expirado o a partir de febrero 9 2017 9 2018 de noviembre; el apoyo técnico de Enisa también debería mencionarse tanto para la Comisión como para los organismos de coordinación, es decir, el grupo de cooperación y la red de CSIRT. Sin embargo, deben designarse las autoridades nacionales de referencia, los CSIRT nacionales y el único punto de contacto nacional. Si bien recibimos noticias de que algunos Estados miembros ya han concluido el proceso formal de transposición del NIS, vemos una demora nacional evidente en la reciente delegación al Gobierno para la implementación de las directivas europeas que entraron en vigor el pasado noviembre 21. La situación nacional tiene una actualización del Marco Estratégico Nacional en febrero de 2017 y el Plan Operativo, que, sin embargo, carecen de la implementación prevista en las dos disposiciones reglamentarias mencionadas. Las dudas de la Comisión sobre la aplicación de los NEI deben señalarse, en mi opinión, por las diversas disposiciones relativas a la revisión de la Directiva.
Artículo. 23 espera que 9 May 2018 presente ante el Parlamento Europeo y el Consejo un informe sobre la coherencia en la identificación de operadores de servicios esenciales. Dos años después de la entrada en vigor de la Directiva NIS y cada uno de los 18 meses sucesivos, la red CSIRTs elaborará un informe para evaluar la experiencia adquirida con la cooperación operativa, incluidas las conclusiones y recomendaciones que han surgido. El informe se enviará a la Comisión y se prevé una revisión periódica de la directiva. La primera observación del sistema implica la relación entre la Directiva NIS y las normas contextuales relacionadas, es decir, la Gdpr y la protección de datos en general, las normas sectoriales de la UE, por ejemplo, en el transporte marítimo y la banca financiera, las normas nacionales y normas y acuerdos internacionales, incluido el escudo de privacidad. Por ejemplo, no está claro cómo se resolverá la cuestión del cumplimiento de NIS y GDPR y las sanciones previstas en relación con el escudo de privacidad que debe cumplir con los estándares europeos. Mientras tanto, veamos las obligaciones y sanciones previstas para los operadores de servicios esenciales. "Los operadores de servicios esenciales son empresas privadas u organismos públicos con un papel importante para la sociedad y la economía en los siguientes sectores: Energía: electricidad, petróleo y gas. Transporte: aire, ferrocarril, mar y carretera. Banca: instituciones de crédito. Infraestructuras del mercado financiero: centros de negociación y contrapartes centrales. Salud: entornos de atención médica. Agua: suministro y distribución de agua potable. Infraestructura digital: específicamente los puntos de intercambio de Internet, los proveedores de servicios del Sistema de nombres de dominio (DNS) y los registros de TLD (Dominio de nivel superior).
Pero los 'considerandos' de la Directiva nos informan que sectores tales como la banca financiera y el transporte marítimo tienen regulaciones sectoriales que serán evaluadas y finalmente integradas para la aplicación de la nueva norma. Suponiendo que los plazos sean ciertos, los Estados miembros ya deberían haber elaborado listas de operadores de servicios esenciales planificados para 9 en noviembre pasado (art. 23). Para este fin, el estándar dice: "1. Dentro de 9 November 2018, los Estados miembros identificarán, para cada sector y subsector, los operadores de servicios esenciales que tengan un asiento en su territorio. Los criterios para identificar a los operadores de servicios esenciales son los siguientes: una persona proporciona un servicio que es esencial para el mantenimiento de actividades sociales y / o económicas fundamentales; la provisión de este servicio depende de la red y los sistemas de información; un accidente tendría efectos adversos significativos en la prestación de este servicio. Cada Estado miembro establece una lista de servicios. "De esta forma, el texto sugiere que los operadores de servicios esenciales deben identificarse con un nombre y apellido específico. Dejando de lado la tautología de '' esencial', que significa inmediatamente la sensibilidad del tema, el primer bug / potencial punto débil para el que la identificación posiblemente selectiva de los operadores de servicios esenciales, incluidas las empresas europeas e internacionales, podría conducir a tratamientos esoneranti de acuerdo con las listas de los diferentes estados miembros, de la organización permanente y / o la ubicación territorial del "representante" de la misma, según lo previsto por el NIS. Como las grandes empresas de servicios utilizan redes de empresas de servicios intermediarios, en cascada, por ejemplo en energía, agua, telecomunicaciones, etc. ¿Cómo abordarán las Autoridades el asunto en el caso de accidentes a estos sujetos y no a las empresas matrices? ¿Y cómo debe entenderse la obligación de cumplir con las normas de seguridad? Y, de nuevo, ¿hasta qué nivel deberían implementarse los análisis para la evaluación de riesgos y la evaluación de riesgos? La vaguedad cuantitativa y cualitativa de los efectos negativos significativos hace que la definición del umbral de impacto sea muy precaria desde el principio. El estándar así provee factores intersectoriales para la definición de "efectos negativos significativos: la cantidad de usuarios que dependen del servicio provisto por el interesado; la dependencia de otros sectores a los que se refiere el Anexo II el servicio prestado por esa materia; el impacto que podrían tener los accidentes, en términos de escala y duración, en las actividades económicas y sociales o en la seguridad pública; la cuota de mercado de dicho tema; la distribución geográfica en relación con el área que podría verse afectada por un accidente; la importancia del tema para mantener un nivel de servicio suficiente, teniendo en cuenta la disponibilidad de herramientas alternativas para la prestación de este servicio. "Además de" factores sectoriales: cuando corresponda ". Uno se pregunta quién, entre los primeros de la clase europea, ya ha proporcionado datos y estimaciones de economía y escala social de esta escala relacionadas con su territorio y / o establecimientos ubicados en otros lugares o cuyos representantes en el caso de empresas multinacionales prestan servicios en el país, pero están ubicados en otra parte. A menos que uno piense actuar, caso por caso en caso de accidente, pero, en este caso, las condiciones claras para las notificaciones de los accidentes en sí mismas faltarían.
Llegamos ahora al cumplimiento que se puede resumir de la siguiente manera. La evaluación de riesgos y las obligaciones de evaluación de riesgos deben correlacionarse con el cumplimiento de las normas internacionales y de la UE: por ejemplo, directrices y estándares como el marco NIST, COBIT, ISO, ISA, etc. Pero, ¿cuál de las docenas de estándares tendrá preferencia en los estados miembros individuales? Y aquí está el tercer error de aplicación que podría desencadenar una "guerra" de estándares para los proveedores de servicios y productos digitales, con diferentes estándares europeos y estadounidenses que tienen un impacto diferente en productos y servicios. Es obviamente concebible la presión de presión de las compañías que brindan servicios digitales en estados miembros individuales. Notificaciones obligatorias a las que los estados miembros tendrán que pagar multas, si las hubiere. Todo esto debe corresponderse con criterios objetivables de impacto, es decir, con criterios compartidos de evaluación de riesgos y verificación de jurisdicción y territorialidad. En resumen, un agradable vespaio legal y pragmático o un cuarto error de aplicación.
Fuente Nova