En este artículo queremos responder a la encuesta que lanzamos el mes pasado sobre si, en España, existe cumplimiento normativo en materia de ciberseguridad para proyectos Smart. La respuesta no es sencilla, aunque se puede resumir en un sí.
En resumen, un proyecto Smart involucra dispositivos IoT, comunicaciones y plataformas Software, entre otros, como ya explicamos en nuestro último artículo sobre ciberseguridad. Por tanto, estos proyectos en sí tienen una entidad propia que engloba los diferentes elementos, teniendo además los diferentes elementos entidades propias para poder contener normativa específica.
En España, a nivel de ciberseguridad y privacidad, contamos con las siguientes normativas principales.
Esquema Nacional de Seguridad
El Esquema Nacional de Ciberseguridad (ENS) es de obligatorio cumplimiento para la Administración Pública y para los proveedores de productos y servicios de la Administración Pública. Concretamente, para proyectos Smart, se indica la exigencia del cumplimiento del ENS (Declaración/Certificación) en la Guía Estratégica en Seguridad para Entidades Locales – Tomo I.
Las Administraciones Públicas que liciten soluciones vinculadas con productos, servicios o plataformas Smart, deben de pedir la certificación ENS al proveedor. Para comprobar si un proveedor cuenta con dicha certificación, es posible consultar la lista de empresas certificadas en el ENS.
Wellness TechGroup consiguió la Certificación de Conformidad con el ENS de categoría MEDIA, posicionándose como empresa certificada que puede aportar soluciones a la Administración Pública garantizando la seguridad adecuada, incluyendo todas las soluciones Smart de la compañía.
Reglamento General de Protección de Datos
El Reglamento General de Protección de Datos (RGPD) regula el tratamiento que realizan personas, empresas u organizaciones, de los datos personales relacionados con personas en la Unión Europea.
En la Sección 2: Seguridad de los datos personales, Artículo 32: Seguridad del tratamiento, se indican, entre otras, las siguientes medidas de seguridad a adoptar:
- la seudonimización y el cifrado de datos personales
- la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento
- la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico
- un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
Por tanto, en los proyectos Smart, deben evaluarse las medidas de seguridad a adoptar para proteger los datos de carácter personal.
LOPDGDD
La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales es de obligatorio cumplimiento tanto por el sector público y privado en España.
Concretamente, para el sector público y sus proveedores, en la ”Disposición adicional primera: Medidas de seguridad” en el ámbito del sector público, se indica que, las medidas de seguridad a implantarse en caso de tratamiento de datos personales, serían las del ENS. También se añade que, en los casos en los que un tercero preste un servicio en régimen de concesión, encomienda de gestión o contrato, las medidas de seguridad se corresponderán con las de la Administración pública de origen y se ajustarán también al ENS.
De nuevo, vemos que, en los proyectos Smart, si se tratan datos de carácter personal, es necesario cumplir en España con esta normativa tanto para el sector público como privado.
Directiva NIS
La Directiva NIS (Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016), busca identificar los sectores en los que se debe garantizar la protección de las redes y sistemas de información, y establecer las exigencias de notificación de ciberincidentes. En España, esta Directiva se introdujo a través del Real Decreto-ley 12/2018, del 7 de septiembre, de seguridad de las redes y sistemas de información, teniendo como objeto regular la seguridad de las redes y sistemas de información utilizados para la provisión de los servicios esenciales, y de los servicios digitales, y establecer un sistema de notificación de incidentes, estableciendo un marco institucional para la coordinación entre autoridades competentes y con los órganos de cooperación relevantes en el ámbito comunitario. En resumen, es una normativa obligatoria aplicable a infraestructura crítica y servicios esenciales, incluyendo proveedores.
Los sectores que engloba son los siguientes:
- Energía
- Industria Nuclear
- Tecnológicas de la Información
- Transportes
- Suministro de Agua
- Suministro de Alimentos
- Salud
- Sistema Financiero
- Industria Química
- Espacio
- Recursos
- Administración
Algunos de los proyectos Smart se encuentran dentro de los sectores mencionados, formando parte de infraestructuras críticas.
Otras normativas
Además del marco normativo expuesto en el apartado anterior, existen otras normativas de ciberseguridad que pueden ser de obligatoria aplicación dependiendo del sector o de proyectos concretos. A continuación, se exponen algunas de ellas.
Para Sistemas de Gestión de la Seguridad de la Información, tenemos la ISO/IEC 27001 y para Sistemas de Gestión de Continuidad del Negocio, existe la ISO/IEC 22301. Estas normas pueden ser aplicables a las organizaciones que tengan que prestan servicios Smart.
Si la organización comercializa productos TI, se está impulsando, a nivel europeo, un framework de certificación (The EU cybersecurity certification framework). En España, concretamente, contamos con LINCE (Metodología de Evaluación para la Certificación Nacional Esencial de Seguridad), que define los pasos necesarios para realizar una evaluación básica de productos IT, cuyo despliegue está previsto en entornos con nivel de amenaza de tipo básico o medio. Por tanto, estas evaluaciones podrán formar parte de productos utilizados en servicios Smart.
Para los sistemas de automatización industrial (ICT), existe la serie de normas ISA/IEC 62443, también a tener en cuenta si se utilizan este tipo de sistemas en servicios Smart.
Conclusiones
Existe regulación que deben de cumplir los prestadores de servicios Smart, así como los proveedores que proporcionan tales servicios en los sectores público y privado, aunque tal regulación puede que no indique en sus alcances los términos Smart o IoT, tal como hoy en día los conocemos. Por tanto, consideramos necesario que las organizaciones que prestan y despliegan servicios Smart colaboren con personal especializado, capaz de evaluar cómo encajan las normativas a su casuística particular y/o implanten sus proyectos, a través de un framework específico, que tenga en cuenta la seguridad en todo el ciclo de vida de un proyecto Smart.
¿Hablamos?
