CERTIFICACIÓN ENS O CÓMO CUMPLIR CON LA LEY NIS

El pasado día 28 de enero se publicó en el BOE el RD 43/2021, por el que se desarrolla la llamada Ley de Seguridad de las Redes y Sistemas de Información, más conocida como Ley NIS. Esta Ley es una transposición de la Directiva (UE) 2016/1148 o Directiva NIS (network and information systems). La Directiva NIS ofrece un marco común para mejorar la resiliencia de las redes y los sistemas de información de la Unión Europea frente a los riesgos de ciberseguridad.

El objetivo del RD es impulsar iniciativas para que las empresas de servicios esenciales alcancen un nivel de ciberseguridad adecuado y dotar de una actuación coordinada por parte de las autoridades en materia de ciberseguridad.

¿Pero qué sectores de actividad les aplica el cumplimiento de la Ley NIS y el RD que la desarrolla?  La Ley afecta a los siguientes dos grupos en función del sector y área estratégica:

• Operadores de Servicios Esenciales según se definen en la Ley 8/2011. Se incluyen dentro de esta categoría los siguientes sectores: administraciones públicas; espacio; industria nuclear; industria química; instalaciones de investigación; agua; energía; salud; tecnologías de la información y comunicaciones; transporte; alimentación; así como el sistema financiero y tributario.
• Proveedores de Servicios Digitales que incluyan mercados en línea; motores de búsqueda en línea y servicios cloud.

Uno de los aspectos más destacable del RD 43/2021 es que da respuesta al marco de medidas de seguridad necesarias a establecer para gestionar los riesgos que afecten a la seguridad de las redes y sistemas de información, así como las correspondientes medidas de mitigación sobre dichos riesgos. Concretamente, respecto a las medidas de seguridad que debe implementa un operador esencial, el Art.6 del RD 43/2021, indica que deben tomar como referencia las recogidas en el Esquema Nacional de Seguridad (ENS). La mención específica al ENS, como referencia para la adopción de medidas de seguridad, no deja lugar a dudas en cuanto a las preferencias de las autoridades españolas respecto al catálogo de medidas a implementar. Se deja la puerta abierta a otros esquemas y estándares, pero siempre bajo criterios de aceptación y aprobación de las autoridades pertinentes.

El ENS se está imponiendo como el marco de medidas de seguridad de los reguladores. Considerado como el marco de control de referencia de la Administración Pública española, su aplicación se está promocionando para cubrir otros requerimientos regulatorios como la Ley NIS o la Ley de Protección de Datos. En este sentido, la nueva LOPD en su disposición primera, establece también el Esquema Nacional de Seguridad como el elemento idóneo para garantizar las medidas de seguridad técnicas y organizativas que exige el RGPD en el ámbito del sector público y en las empresas vinculadas al mismo, sujetas al derecho privado. Esto significa que la Agencia Española de Protección de Datos, considera adecuado el marco de control de seguridad del ENS para aplicar a los tratamientos de datos de carácter personal.  Así pues, no se obliga a aplicar este marco de control para cumplir con estas leyes, pero sí se otorga una legitimidad irrefutable al Esquema Nacional de Seguridad.

Por último, otra de las justificaciones que se está dando para promocionar el ENS como marco de control de seguridad para cumplir con la Ley NIS es su esquema de certificación de conformidad.

Dentro de las novedades del Reglamento, un punto muy importante a tener en cuenta es el de la supervisión. Dentro de las actividades de supervisión de las autoridades de control, se pone de relieve la posibilidad de validar el cumplimiento a través de la certificación en un esquema de seguridad reconocido por la autoridad competente como puede ser el ENS con el objeto de acreditar el cumplimiento de las obligaciones de ciberseguridad. Otra alternativa ofrecida a las autoridades de control para evaluar el cumplimiento será la de auditar o exigir al operador que se someta a una auditoría de seguridad por parte de una entidad externa, solvente e independiente.

El certificado de conformidad con los requerimientos del ENS se está convirtiendo más en una necesidad de cumplimiento que en una opción. Las entidades deben aprovechar la legitimidad adquirida por el Esquema Nacional de Seguridad. Reinventar la rueda utilizando otros marcos de control conlleva esfuerzo y no siempre éxito.