El pasado 7 de septiembre fue aprobado el Real Decreto Ley de seguridad de las redes y sistemas de información-12/2018-, que transpone al ordenamiento jurídico español la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, más conocida como Directiva NIS (Network and Information Systems). Esta es relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información de la Unión Europea.
Con un propósito transversal e integral, este texto normativo tiene como objetivo establecer mecanismos de protección frente a las amenazas que afectan a las redes y sistemas de información, facilitando la coordinación a nivel nacional y los países de nuestro entorno. Todo ello, en consonancia con el marco normativo español en materia de ciberseguridad, esto es la Ley 8/2011, por la que se establecen medidas para la protección de las infraestructuras críticas; la Ley 36/2015, de Seguridad Nacional; el Real Decreto 3/2010 y Real Decreto 951/2015, de 23 de octubre, por los que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica; y el Reglamento (UE) 2016/679, General de Protección de Datos (RGPD).
1. Ámbito de aplicación
Quedan sometidos a este Real Decreto Ley:
- Los operadores de servicios esenciales dependientes de las redes y sistemas de información comprendidos en los sectores estratégicos definidos en el anexo de la Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas.
- Proveedores de determinados servicios digitales, esto es, (i) mercados online, (ii) motores de búsqueda y (iii) servicios de computación en la nube (cloud computing).
El Real Decreto Ley únicamente será de aplicación a:
- Operadores de servicios esenciales establecidos en España, así como a los servicios que los residentes o domiciliados en otro estado ofrezcan a través de un establecimiento permanente situado en España,
- Proveedores de servicios digitales que tengan su sede social en España y que constituya su establecimiento principal en la UE,
- Proveedores de servicios digitales que designen en España a su representante en la UE.
- Asimismo se identificará a un operador como operador de servicios esenciales si un incidente sufrido por éste, puede llegar a tener efectos perturbadores significativos en al prestación del servicio (tanto en relación con la importancia del servicio prestado, como con el número de clientes y su cuota de mercado).
- Quedan excluidos del ámbito de aplicación los operadores de redes y servicios de comunicaciones electrónicas y los prestadores de servicios electrónicos de confianza que no sean designados como operadores críticos en virtud de la Ley 8/2011, de 28 de abril, así como los proveedores de servicios digitales cuando se trate de microempresas o PYMES.
2. Marco estratégico e institucional
El art. 9 del Real Decreto Ley establece cuales serán las autoridades públicas competentes para los operadores de servicios esenciales y para los proveedores de servicios digitales, encargadas de ejercer funciones de vigilancia, aplicar el régimen sancionador y promover el desarrollo de las obligaciones que establece este Real Decreto Ley.
En su art. 11 relaciona igualmente, tanto para operadores de servicios esenciales, como para los proveedores de servicios digitales, los distintos CSIRT (Equipos de Ciberseguridad y Gestión de Incidentes), que analizan riesgos y supervisan incidentes a escala nacional, difunden alertas sobre ellos y aportan soluciones para mitigar sus efectos.
3. Obligaciones de seguridad
Los operadores y proveedores de servicios digitales, deberán adoptar medidas técnicas y organizativas adecuadas y proporcionadas para gestionar los riesgos que se planteen para la seguridad de las redes y sistemas de información que utilicen, cubriendo como mínimo los siguientes aspectos:
- Seguridad de los sistemas de información e instalaciones,
- Gestión de incidentes de seguridad,
- Gestión de la continuidad de las actividades,
- Supervisión, auditorias y pruebas, y
- Cumplimientos de las normas internacionales aplicables en la materia.
- Además, deberán tomar medidas adecuadas para prevenir o minimizar al máximo la materialización de los mismos, así como para reducir al mínimo el impacto de los incidentes que les afecten.
4. Notificación de incidentes
De la misma forma que establece el RGPD, existe en este Real Decreto Ley una obligación de notificar los incidentes que sufran en las redes y servicios de información que emplean para la prestación de los servicios digitales y esenciales, diferenciado entre:
- La obligación de notificación de incidentes por parte de los operadores de servicios esenciales que puedan tener efectos perturbadores significativos en los servicios de los operadores esenciales.
Esta obligación podrá ser ampliada reglamentariamente para aquellos incidentes que no tengan un efecto adverso.
- La obligación de notificación de incidentes por parte de los proveedores de servicios digitales a la autoridad competente, a través del CSIRT de referencia, de los incidentes que tengan efectos perturbadores significativos en dichos servicios.
En función del operador o proveedor obligado, la notificación del incidente deberá dirigirse al correspondiente CSIRT, esto es, CCN-CERT; NCIBE-CERT y ESPDEF-CERT.
- Se prevé la posibilidad de realizar notificaciones voluntarias por parte de los operadores de servicios esenciales y proveedores de servicios digitales de incidentes para los que no se establezca una obligación de notificación, o bien, cuando las entidades que presten servicios esenciales no hayan sido identificadas como tales, podrán notificar los incidentes que afecten a dichos servicios.
Asimismo, respecto a la notificación de incidentes, el Real Decreto Ley establece:
- Las autoridades competentes y los CSIRT deberán utilizar una plataforma común para facilitar y automatizar los procesos de notificación, comunicación e información sobre incidentes, de esta manera no será necesario que realicen varias notificaciones en función de la autoridad a la que deban dirigirse los operadores y proveedores de servicios. Además, dicha plataforma podrá ser utilizada del mismo modo para la notificación de brechas de seguridad que afecte a datos de carácter personal, en las condiciones que establece el nuevo RGPD.
- Se protegerá la entidad notificante y al personal que informe sobre incidentes ocurridos.
- Un listado abierto de factores para determinar la importancia de los efectos de un incidente.
- Flexibilidad en los plazos de notificación en función de la información de que dispongan.
- La tramitación de incidentes con impacto transfronterizo a través de un punto de contacto único.
5. Régimen sancionador
Se establece un régimen sancionador para el incumplimiento de las obligaciones previstas en la norma, clasificadas en muy graves, graves y leves, con la siguiente graduación en cuanto al importe de las multas:
- Infracción muy grave: desde una multa de 501.000€ hasta 1.000.000€.
- Infracción grave: desde una multa de 100.001€ hasta 500.000€.
- Infracción leve: desde una amonestación hasta una multa de 100.000€.
La falta de adopción de medidas para subsanar deficiencias e incidentes detectados, así como el incumplimiento reiterado de la obligación de notificar incidentes con efectos perturbadores significativos, son ejemplos de infracciones consideradas muy graves, mientras que no someterse a una auditoría de seguridad, o la falta de notificación de los sucesos o incidencias para los que no haya tenido un efecto adverso, entre otras, se considerará infracción leve.
Descarga este Breves en PDF haciendo clic aquí.