¿Quién es quién en la Directiva europea sobre ciberseguridad?

La Directiva sobre ciberseguridad de la Unión Europea que fue publicada en el Diario Oficial de la Unión Europea L 194, de 19 de julio de 2016, obliga a diferentes sujetos a adoptar medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información y crea, al mismo tiempo, varios grupos y redes que serán fundamentales en el intercambio de información clave y en la respuesta, en su caso, ante incidentes de seguridad. Es necesario, por tanto, conocer quién tiene obligación de adoptar e implementar medidas de seguridad y quién forma parte del entramado institucional nacional y europeo que se establece en virtud de la citada Directiva europea.

Es por ello que, a continuación, atendemos a las previsiones de la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión,  para presentar cada una de estas figuras, tanto los sujetos obligados o excluidos como las autoridades competentes o grupos que se crean, en su caso.

 

Sujetos obligados

Por lo que se refiere a quién tiene que adoptar medidas en virtud de las obligaciones previstas en la Directiva, son los siguientes:

• Estados miembros: Cada uno de los 27 Estados miembros, considerando el Brexit, de la Unión Europea que tienen la obligación, entre otras, de “adoptar una estrategia nacional de seguridad de las redes y sistemas de información”; de identificar a los operadores de servicios esenciales y de designar “autoridades nacionales competentes, puntos de contacto únicos y CSIRT con funciones relacionadas con la seguridad de las redes y sistemas de información”. Cabe considerar que dichas obligaciones son parte de las medidas que tendrán que adoptar los Estados miembros para cumplir con la Directiva y alcanzar así una armonización mínima a nivel europeo, sin perjuicio de que, como se prevé en la misma, puedan “adoptar o mantener disposiciones con el objeto de alcanzar un mayor nivel de seguridad de las redes y sistemas de información”. Es así que los Estados miembros de la Unión Europea son uno de los principales sujetos obligados en virtud de la Directiva.

• Operadores de servicios esenciales: A la vista de la definición dada en la Directiva, se trata de una entidad pública o privada que, por una parte, entre dentro de los sectores, subsectores y tipos de entidades previstos en el Anexo II de la Directiva, tales como las entidades de crédito, que se incluyen el sector banca, o los Registros de nombres de dominio de primer nivel, incluidos en el sector de infraestructura digital, y que, por otra parte, conforme al apartado 2 del artículo 5 de la Directiva, reúna estos tres criterios: 1) presta un servicio esencial para el mantenimiento de actividades sociales o económicas cruciales; 2) la prestación de dicho servicio depende de las redes y sistemas de información, y 3) un incidente tendría efectos perturbadores significativos en la prestación de dicho servicio.

Los Estados miembros tendrán que identificar, en su territorio, a estos operadores de servicios esenciales, como muy tarde “el 9 de noviembre de 2018”. Y a partir de dicha fecha revisarán con regularidad, al menos bienalmente (cada dos años), la lista de operadores, actualizándola cuando corresponda.

Los operadores de servicios esenciales tomarán “las medidas técnicas y de organización adecuadas y proporcionadas para gestionar los riesgos que se planteen para la seguridad de las redes y sistemas de información que utilizan en sus operaciones”, tal como se indica en el apartado 1 del artículo 14 de la Directiva. Además, se les impone la obligación de notificar a la autoridad competente o al CSIRT, sin dilación indebida, los incidentes que tengan efectos significativos en la continuidad de los servicios esenciales que prestan.

• Proveedor de servicios digitales: A los que, con carácter general, se define como “toda persona jurídica que preste un servicio digital” (art. 4.6 de la Directiva), si bien en virtud de lo previsto en la Directiva, quedarán sujetos al cumplimiento de las correspondientes obligaciones aquellos que proporcionen servicios digitales relativos a mercados en línea, motores de búsqueda en línea y servicios de computación en nube. Al respecto, la Directiva define cada uno de estos servicios en los apartados 17 a 19 del artículo 4.

Los proveedores o prestadores de servicios digitales, como indica la Directiva, tendrán que adoptar “medidas técnicas y organizativas adecuadas y proporcionadas para gestionar los riesgos existentes para la seguridad de las redes y sistemas de información que se utilizan en el marco de la oferta de servicios en la Unión”. Además, tendrán que cumplir también con la obligación de notificar a la autoridad competente o al CSIRT cualquier incidente que tenga un impacto significativo en la prestación de sus servicios, en los mismos términos que los aplicables a los operadores de servicios esenciales.

Es importante tener en consideración que las obligaciones previstas para estos prestadores de servicios digitales no serán aplicables a las microempresas y pequeñas empresas, tal como son definidos en la Recomendación de la Comisión, de 6 de mayo de 2003, sobre la definición de microempresas, pequeñas y medianas empresa.

 

 

Sujetos excluidos

La Directiva también excluye del cumplimiento de las obligaciones previstas en la misma a empresas que suministren redes públicas de comunicaciones o presten servicios de comunicaciones electrónicas disponibles para el público en el sentido de la Directiva 2002/21/CE del Parlamento Europeo y del Consejo, ya que éstas se encuentran sujetas a obligaciones específicas en virtud de esta última Directiva.

Y tampoco es aplicable a los prestadores de servicios de confianza, que están definidos en Reglamento (UE) n.º 910/2014 del Parlamento Europeo y del Consejo y tienen que cumplir con las obligaciones previstas en el mismo.

 

Marco institucional

Además de los sujetos para los que la Directiva incluye obligaciones, cabe considerar también a otros que tienen un papel relevante por lo que se refiere a la aplicación de la Directiva y que, sin perjuicio de los propios Estados miembros, son los siguientes:

• Grupo de cooperación: Compuesto por representantes de los Estados miembros, la Comisión Europea y ENISA, tiene como finalidad “apoyar y facilitar la cooperación estratégica y el intercambio de información entre los Estados miembros y desarrollar confianza y seguridad”. Este Grupo de cooperación deberá tener un programa de trabajo sobre las acciones que deben emprenderse para realizar sus objetivos y funciones “a más tardar el 9 de febrero de 2018”.

• Red de equipos de respuesta a incidentes de seguridad informática (“red de CSIRT”): Como indica el apartado 1 del artículo 9 de la Directiva, los CSIRT son los “responsables de la gestión de incidentes y riesgos de conformidad con un procedimiento claramente definido”. Cada Estado miembro designará a uno o varios CSIRT que cumplan con los requisitos previstos en la Directiva y se asegurará de que dispongan de los recursos necesarios para el desarrollo de sus funciones.

• Autoridades nacionales competentes: Serán las competentes en materia de seguridad de las redes y sistemas de información y “supervisarán la aplicación de la presente Directiva a escala nacional”.

 

Miguel Recio Gayo Abogado del Ilustre Colegio de Abogados de Madrid; Licenciado en Derecho por la Universidad Carlos III; Máster en Protección de Datos, Transparencia y Acceso a la Información por la Universidad CEU San Pablo y Máster en Derecho de la Propiedad Intelectual por The George Washington University Law School. Es socio fundador de Global Data Protection Consulting, una firma de servicios jurídicos y consultoría en Derecho de las TIC. Es autor de diversas publicaciones sobre protección de datos y otras áreas del Derecho de las TIC. Madrid, España.