ciberseguridad alt

El pasado 8 de septiembre de 2018 fue publicado el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información, que transpone, fuera de plazo – recordemos que la fecha máxima para transponer la directiva era el 9 de mayo de 2018 – la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión, conocida también como “Directiva de seguridad” o “Directiva NIS”.

La Directiva NIS busca garantizar un elevado nivel de seguridad en las redes y en los sistemas de información en todos los Estados miembros mediante la publicación de unos requisitos mínimos comunes, sin perjuicio de la normativa sectorial aplicable a determinados sectores de la economía y de las acciones estatales para garantizar la protección de los intereses esenciales de su seguridad, preservar el orden público y la seguridad nacional, y permitir la investigación, detección y enjuiciamiento de infracciones penales.

Como ya indicábamos en esta entrada, entre las medidas impulsadas por la Directiva NIS, destacaban:

  1. la obligación de identificar y comunicar a la Comisión los operadores de servicios esenciales y proveedores de servicios digitales de los Estados Miembros;
  2. la comunicación y notificación a la Comisión y a la autoridad nacional competente de los incidentes con “efecto perturbador significativo” (esto es, aquellos incidentes de ciberseguridad que pudieran tener efectos significativos y afectar a la continuidad de los servicios esenciales prestados);
  3. el desarrollo y comunicación a la Comisión de una Estrategia nacional de seguridad de las redes y sistemas de información;
  4. el establecimiento de un marco de gobernanza que se coordine con las estructuras europeas, mediante la designación de una o más autoridades competentes, un punto de contacto único nacional y uno o varios equipos de respuesta a incidentes de seguridad informática (CSIRT);
  5. La cooperación a escala nacional e internacional, mediante el establecimiento de una red en la cual los Estados miembros puedan intercambiar información, y la creación de un grupo de cooperación a nivel europeo.

Con este Real Decreto-Ley, que extiende su ámbito de aplicación a otros sectores que no se encuentran expresamente incluidos en la Directiva, dirigiéndose a las entidades que prestan servicios esenciales y dependen de las redes y sistemas de información, así como a los proveedores de determinados servicios digitales, se regula la seguridad de las redes y sistemas de información utilizados para la provisión de los servicios esenciales y los servicios digitales.

Entre otros puntos, establece: (i) la identificación, con frecuencia bienal, de los servicios esenciales y operadores que los prestan; (ii) la obligación (a priori) de implementar medidas técnicas y de organización, adecuadas y proporcionadas, para gestionar los riesgos planteados en las redes y sistemas con carácter preventivo; así como (iii) un sistema (a posteriori) de notificación de incidentes significativos que ocurran en las redes y servicios de información empleados para la prestación de los servicios esenciales y digitales; y (iv) la creación de un marco estratégico de seguridad y el nombramiento de autoridades competentes para la coordinación entre autoridades y órganos de cooperación europeos.

El sistema de notificación de incidentes a la autoridad de competente se realiza a través del CSIRT de referencia y se refiere tanto a las redes y servicios propios como a los de proveedores externos. Además, protege a la entidad notificante y al personal que informe sobre los incidentes, permitiendo la notificación de incidentes aun cuando la comunicación no sea obligatoria (por no desencadenar un efecto adverso real). Este sistema se uniría a la obligación de notificación a la autoridad de control en materia de protección de datos de las violaciones de seguridad que puedan afectar a datos personales, ya contenida en el Reglamento General de Protección de Datos, creándose una plataforma común para la notificación de incidentes de conformidad con ambas normativas y unificar procesos.

Respondiendo al imperativo de la Directiva NIS de establecer nacionalmente las sanciones aplicables, este Real Decreto-ley impone sanciones que van desde la amonestación a multas de hasta 1.000.000 euros, en función de distintos factores como el grado de culpabilidad, la continuidad o persistencia, el número de usuarios afectados, la reincidencia, el volumen de facturación o las acciones realizadas para descubrir o paliar los efectos.

Se espera que, con la aprobación de este Real Decreto-ley, se impulse el desarrollo del mercado interior y se mejore la seguridad en las redes y sistemas de información, aumentando la confianza de los usuarios y prestadores de servicios, así como facilitándose la prestación de servicios con alcance transeuropeo al homogeneizar los requisitos mínimos de seguridad.

Autora: Adaya Esteban

Autores:

Asociada

12 artículos



adaya.esteban@cuatrecasas.com

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *