A lo largo de los años, el marco regulatorio de las comunidades conectadas se ha ido ampliando. ¿El objetivo? Reforzar la confianza de los usuarios en los servicios digitales y proporcionar un marco para la transformación digital de las administraciones, mejorando al mismo tiempo la seguridad de los datos personales.
El establecimiento de un marco regulatorio y jurídico pretende proteger los sistemas de información de las autoridades locales inmersas en una transformación digital de mayor o menor calado.
En Europa, se basa en los tres principios fundamentales de gobernanza, gestión de riesgos y mejora continua, y su objetivo es garantizar la seguridad de las interacciones, los datos y los actores críticos.
Seguridad para las interacciones
Para afianzar la seguridad de las interacciones es vital que todos los servicios a distancia en los que participen, tanto usuarios como autoridades administrativas deben cumplir los requisitos de seguridad establecidos en el Esquema Nacional de Seguridad (ENS) de la Administración Española.
Este conjunto define aspectos destinados a garantizar la protección de los sistemas de información en las entidades de su ámbito de aplicación, reduciendo vulnerabilidades y promoviendo la vigilancia continua. Además, establece mecanismos de respuesta y medidas de seguridad óptimas, dentro del marco jurídico, tecnológico, estratégico y de ciberamenazas actuales.
El reglamento eIDAS, por su parte, también proporciona un marco complementario para las interacciones digitales entre el sector público y los ciudadanos (identificación electrónica, etc.). Estos dos textos se solapan a veces; por ejemplo, en materia de seguridad de las firmas electrónicas.
Seguridad para los datos en autoridades locales
Algunos de los datos recogidos por las ciudades conectadas son de carácter personal. Como tales, están cubiertos por el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD). Por otro lado, distintas autoridades locales tratan datos sanitarios que deben estar especialmente protegidos y su tratamiento está prohibido salvo determinadas circunstancias: consentimiento del interesado, protección de intereses vitales del interesado, interés público esencial, etc.).
De mismo modo, los Servicios de Salud Autonómicos pertenecientes al Sistema Nacional de Salud y el Ministerio de Sanidad, Consumo y Bienestar Social, son corresponsables del tratamiento de datos personales en la Historia Clínica Digital del Sistema Nacional de Salud (HCDSNS).
Por último, estas instituciones tienen que tener en cuenta también que, a la hora de gestionar los riesgos de seguridad para los datos, es muy importarte pensar en la nube. Promover el intercambio seguro de datos de los pacientes y el acceso a los datos sanitarios es prioritario, igual que cumplir con las diferentes directrices de las autoridades en materia de seguridad de datos en la nube.
¿Qué hay de los actores críticos?
En Europa, la Directiva sobre Seguridad de las Redes y de la Información (NIS), adoptada el 6 de julio de 2016, establece normas de seguridad específicas para los operadores de servicios esenciales, de los que forman parte algunas autoridades locales. Así, estas entidades deben identificar sus sistemas de información esenciales (SIE) y mantener un análisis de riesgos actualizado para ellos.
Otras normas observadas son las auditorías de seguridad periódicas, la compartimentación de cada SIE, la protección de los accesos remotos y la implantación de un servicio de tratamiento de las alertas para fortalecer la ciberseguridad y cumplir con los objetivos de la Estrategia de Seguridad Nacional.
Sin embargo, la continua evolución de las amenazas cibernéticas ha provocado la necesidad de elaborar un nuevo texto normativo capaz de abordar de manera integral todas estas amenazas en el ámbito de la ciberseguridad. En este contexto, la versión remozada de la directiva sobre Seguridad de las Redes y de la Información, conocida como NIS2, o la de Resiliencia de las Entidades Críticas (CER), ambas en proceso de transposición al ordenamiento jurídico español, pretenden reforzar la ciberseguridad y la resiliencia de la infraestructura crítica.
NIS2 ya prevé una ampliación del número de sectores y del tamaño de las entidades que son consideradas entidades de sectores críticos y de alta criticidad. Un número significativo de autoridades locales se convertirán en Entidades Esenciales o Entidades Importantes, y los agentes de su cadena de suministro –en particular en los ámbitos de la gestión de residuos, el agua y la tecnología digital – estarán sujetos a los mismos requisitos. La nueva normativa también incluirá un mecanismo sancionador reforzado para garantizar la aplicación de la ley.
Por su parte, CER busca fortalecer la resiliencia de la infraestructura crítica ante una variedad de amenazas, tales como los peligros naturales, los ataques terroristas, las amenazas internas o el sabotaje, a fin de garantizar la prestación de los servicios esenciales.
Paralelamente a NIS2 o a CER, las infraestructuras clave gestionadas por las autoridades públicas (energía, agua, transportes, etc.), clasificadas muy a menudo como operadores críticos, deben cumplir también las obligaciones de ciberseguridad establecidas en la Ley de protección de infraestructuras críticas (Ley PIC 8/2011) complementada por el Real Decreto 704/2011.
Dicha ley pretende dos grandes objetivos: catalogar el conjunto de infraestructuras que prestan servicios esenciales a nuestra sociedad y, por otro, diseñar un planeamiento que contenga medidas de prevención y protección eficaces contra las posibles amenazas hacia tales infraestructuras, tanto en el plano de la seguridad física como en el de la seguridad de las tecnologías de la información y las comunicaciones.
No hay duda, por tanto, de que las cuestiones administrativas y regulatoria adquieren una dimensión específica en el sector público. Estas normativas están reforzando los requisitos de confianza esperados en las soluciones tecnológicas que permitirán a las empresas y administraciones elevar su nivel de ciberseguridad. Estas evoluciones son oportunidades para extender globalmente la legitimidad adquirida por Stormshield mediante sus certificaciones con organismos internacionales como CC, el CCN o la ANSSI.
