El pasado 8 de septiembre se publicó en el BOE el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información.
Real decreto sobre seguridad redes y sistemas de la información

¿Cuál es el objeto de este Real Decreto-ley?

En la exposición de motivos, se pone de manifiesto que esta regulación es fruto de la evolución de las tecnologías de la información y de la comunicación, sobre todo en lo relativo al uso de internet, dado que, en la actualidad, las redes y los sistemas de información desempeñen un papel fundamental en nuestra sociedad, siendo, por tanto, su fiabilidad y seguridad aspectos esenciales para el desarrollo normal de las actividades económicas y sociales.

De modo que, los incidentes que afecten a las redes y sistemas de información y produzcan alteraciones en dichas actividades, representan una grave amenaza.

A su vez, debido al carácter transversal e interconectado de las tecnologías de la información y de la comunicación, que también caracteriza a sus amenazas y riesgos, se limita la eficacia de las medidas que se emplean para contrarrestarlos cuando se toman de modo aislado. Este carácter transversal también hace que se corra el riesgo de perder efectividad si los requisitos en materia de seguridad de la información se definen de forma independiente para cada uno de los ámbitos sectoriales afectados. Por este motivo, se considera oportuno establecer mecanismos que, con una perspectiva integral, permitan mejorar la protección frente a las amenazas que afectan a las redes y sistemas de información, facilitando la coordinación de las actuaciones realizadas en esta materia tanto a nivel nacional como con los países de nuestro entorno, en particular, dentro de la Unión Europea.

Mejorar la protección y coordinación entre países.

Con este propósito se dicta este real decreto-ley, que transpone al ordenamiento jurídico español la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión.

Recordemos que la citada Directiva tiene por objeto; garantizar un elevado nivel de seguridad en las redes y en los sistemas de información, en todos los Estados miembros. Este nivel de seguridad, se pretende conseguir mediante el establecimiento de unos requisitos mínimos comunes para todos los estados miembros; sin perjuicio de la normativa sectorial aplicable a determinados sectores de la economía, así como también de las acciones estatales para garantizar la protección de los intereses esenciales de su seguridad, preservar el orden público y la seguridad nacional, y permitir la investigación, detección y enjuiciamiento de infracciones penales.

¿A quién será de aplicación?

  • El real decreto-ley, se aplicará a las entidades que presten servicios esenciales para la comunidad; y dependan de las redes y sistemas de información para el desarrollo de su actividad.
  • Su ámbito de aplicación, se extiende a sectores que no están expresamente incluidos en la Directiva; para darle a este real decreto-ley un enfoque global, aunque se preserva su legislación específica.
  • El real decreto-ley se aplicará, así mismo, a los proveedores de determinados servicios digitales.

¿Qué sectores se verán afectados?

Siguiendo la citada Directiva, el real decreto-ley identifica los sectores en los que es necesario garantizar la protección de las redes y sistemas de información, y establece procedimientos para identificar los servicios esenciales ofrecidos en dichos sectores, así como los principales operadores que prestan dichos servicios, que son, en definitiva, los destinatarios de este real decreto-ley.

¿Qué obligaciones hay en materia de seguridad?

Cabe destacar las siguientes:

(i) Los operadores de servicios esenciales y los proveedores de servicios digitales deberán adoptar medidas adecuadas para gestionar los riesgos que se planteen para la seguridad de las redes y sistemas de información que utilicen, aunque su gestión esté externalizada.

Las obligaciones de seguridad que asuman deberán ser proporcionadas al nivel de riesgo que afronten y estar basadas en una evaluación previa de los mismos.

Asimismo, las normas de desarrollo de este real decreto-ley podrán concretar las obligaciones de seguridad exigibles a los operadores de servicios esenciales. Incluyendo en su caso las inspecciones a realizar o la participación en actividades y ejercicios de gestión de crisis.

(ii) El real decreto-ley requiere que los operadores de servicios esenciales y los proveedores de servicios digitales; notifiquen los incidentes que sufran en las redes y servicios de información, que emplean para la prestación de los servicios esenciales y digitales, y tengan efectos perturbadores significativos en los mismos, al tiempo que prevé la notificación de los sucesos o incidencias que puedan afectar a los servicios esenciales, pero que aún no hayan tenido un efecto adverso real sobre aquellos, y perfila los procedimientos de notificación.

La notificación de incidentes forma parte de la cultura de gestión de riesgos que la Directiva y el real decreto-ley fomentan. Por ello, el real decreto-ley protege a la entidad notificante y al personal que informe sobre incidentes ocurridos; se reserva la información confidencial de su divulgación al público o a otras autoridades distintas de la notificada y se permite la notificación de incidentes cuando no sea obligada su comunicación.

¿Qué son los CSIRT?

Los CSIRT son los equipos de respuesta a incidentes; que analizan riesgos y supervisan incidentes a escala nacional, difunden alertas sobre ellos y aportan soluciones para mitigar sus efectos.

El real decreto-ley delimita el ámbito funcional de actuación de los CSIRT de referencia previstos en ella. Dichos CSIRT son la puerta de entrada de las notificaciones de incidentes; lo que permitirá organizar rápidamente la respuesta a ellos. No obstante, el destinatario de las notificaciones es la autoridad competente respectiva; que tendrá en cuenta esta información para la supervisión de los operadores. En todo caso, el operador es responsable de resolver los incidentes; y reponer las redes y sistemas de información afectados a su funcionamiento ordinario.

Se prevé la utilización de una plataforma común para la notificación de incidentes. Esta plataforma común, tiene como objetivo; que los operadores no deban efectuar varias notificaciones en función de la autoridad a la que deban dirigirse. Dicha plataforma, podrá ser empleada también para la notificación de vulneraciones de la seguridad de datos personales; según el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales, y a la libre circulación de estos datos, y por el que se deroga la Directiva 95/46/CE.

¿Qué sucede con la Estrategia de Ciberseguridad Nacional?

La Estrategia de Ciberseguridad Nacional; con la que España cuenta desde el año 2013, sienta las prioridades, objetivos y medidas adecuadas para alcanzar y mantener un elevado nivel de seguridad de las redes y sistemas de información. Dicha Estrategia, seguirá desarrollando el marco institucional de la ciberseguridad que este real decreto-ley esboza; compuesto por las autoridades públicas competentes y los CSIRT de referencia, por una parte, y la cooperación público-privada, por otra.

Las autoridades competentes; ejercerán las funciones de vigilancia derivadas de este real decreto-ley y aplicarán el régimen sancionador cuando proceda. Así mismo, promoverán el desarrollo de las obligaciones que el real decreto-ley impone, en consulta con el sector y con las autoridades que ejerzan competencias por razón de la materia; cuando se refieran a sectores específicos, para evitar la existencia de obligaciones duplicadas, innecesarias o excesivamente onerosas.

¿Se responde al imperativo de la Directiva de establecer nacionalmente las sanciones aplicables?

Efectivamente, este Real Decreto-ley impone sanciones; que van desde la amonestación a multas de hasta 1.000.000 euros, en función de distintos factores como los siguientes: (i) grado de culpabilidad, (ii) la continuidad o persistencia, (iii) el número de usuarios afectados, (iv) la reincidencia; y (v) el volumen de facturación o las acciones realizadas para descubrir o paliar los efectos.

Acceso a la norma: Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información

Para más información, no dude en contactar con nuestro Departamento TIC.

Déjanos tu mensaje y nos pondremos en contacto contigo lo antes posible

    Acepto la Política de Privacidad.

    Autorizo recibir ofertas y promociones, así como otra información comercial y de interés del grupo de empresas de Tarinas.

    Contacto

    También puedes contactar con nosotros por teléfono, email y redes sociales.

    93 11 55 111
    93 766 06 52
    67 22 12345
    tarinas@tarinas.com