Directiva NIS vs

Legislación PIC

Ricardo Cañizares Sales

Director de Consultoría

17 de Noviembre de 2016

2

2010

3

CONSIDERACIONES

4

• Directiva NIS – Directiva (UE) 2016/1148 del Parlamento Europeo y del

Consejo de 6 de julio de 2016 relativa a las medidas

destinadas a garantizar un elevado nivel común de

seguridad de las redes y sistemas de información en la

Unión

• Legislación PIC – Ley 8/2011, de 28 de abril, por la que se establecen

medidas para la protección de las infraestructuras críticas.

5

• Directiva NIS – Ciberseguridad

• Legislación PIC – Seguridad Integral.

6

• Legislación PIC

• Directiva NIS

7

SANCIONES

• Legislación PIC

– NO

• Directiva NIS – Los Estados miembros establecerán el régimen de sanciones aplicables en caso de

incumplimiento de las disposiciones nacionales aprobadas al amparo de la presente

Directiva y adoptarán todas las medidas necesarias para garantizar su aplicación. Tales

sanciones serán efectivas, proporcionadas y disuasorias. Los Estados miembros

comunicarán ese régimen y esas medidas a la Comisión, a más tardar el 9 de mayo de

2018, y le notificarán sin demora toda modificación posterior de las mismas

8

¿Dos aproximaciones diferentes?

9

¿Divergentes?

10

¿En paralelo?

11

¿Convergentes?

12

NECESITAMOS SABERLO

13

CUESTIONES

14

SECTORES

PIC

• Administración

• Espacio

• Industria Nuclear

• Industria Química

• Instalaciones de investigación.

• Agua

• Energía

• Salud

• Tecnologías de la Información y las

Comunicaciones (TIC).

• Transporte

• Alimentación

• Sistema financiero y tributario.

NIS • Energía

• Transporte

• Banca

• Infraestructuras de los mercados financieros

• Sector sanitario

• Suministro y distribución de agua potable

• Infraestructura digital

15

CRITERIOS

PIC

• El número de personas afectadas, valorado en

función del número potencial de víctimas

mortales o heridos con lesiones graves y las

consecuencias para la salud pública.

• El impacto económico en función de la magnitud

de las pérdidas económicas y el deterioro de

productos y servicios.

• El impacto medioambiental, degradación en el

lugar y sus alrededores.

• El impacto público y social, por la incidencia en la

confianza de la población en la capacidad de las

Administraciones Públicas, el sufrimiento físico y

la alteración de la vida cotidiana, incluida la

pérdida y el grave deterioro de servicios

esenciales.

NIS • Al valorar si una entidad presta un servicio

que es esencial para el mantenimiento de

actividades sociales o económicas cruciales,

basta con examinar si la entidad presta un

servicio que esté incluido en la lista de

servicios esenciales. Por otra parte, debe

demostrarse que la prestación del servicio

esencial depende de redes y sistemas de

información.

16

AUTORIDAD

PIC NIS

?

17

Directiva NIS • Cada Estado miembro designará una o más autoridades nacionales

competentes en materia de seguridad de las redes y sistemas de

información (en lo sucesivo, «autoridad competente») que cubra al

menos los sectores que figuran en el anexo II y los servicios que

figuran en el anexo III. Los Estados miembros podrán asignar esta

función a una autoridad o autoridades existentes.

• Cada Estado miembro designará un punto de contacto único en

materia de seguridad de las redes y sistemas de información (en lo

sucesivo, «punto de contacto único»). Los Estados miembros podrán

asignar esta función a una autoridad existente. Si un Estado

miembro designa únicamente una autoridad competente, dicha

autoridad también será el punto de contacto único.

18

¿AUTORIDAD O AUTORIDADES?

19

20

¿Punto de contacto único?

21

Hay muchas cuestiones que necesitan repuesta

22