Nuevo régimen legal en materia de ciberseguridad

VolverEl pasado viernes 7 de Septiembre de 2018 el Consejo de Ministros aprobó el Real Decreto-Ley 12/2018 para la transposición de la Directiva europea sobre ciberseguridad, conocida como Directiva NIS. En concreto, transpone al ordenamiento jurídico español la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de Julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión Europea.

Analicemos más detenidamente este Real Decreto-Ley que lo que pretende es mejorar la eficiencia en la lucha contra los delitos que involucran a las redes y sistemas de información para reducir sus efectos en la seguridad pública y en la seguridad nacional:

Título I – Disposiciones Generales

El objeto de este Real Decreto-Ley es regular la seguridad de las redes y sistemas de información utilizados para la provisión de los servicios esenciales y de los servicios digitales y establecer un sistema de notificación de incidentes. ¿Qué sectores deben garantizar esa protección de redes y de los sistemas de información?: 1) Servicios esenciales dependientes de las redes y sistemas de información comprendidos en los sectores estratégicos definidos en el anexo de la Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas y 2) Servicios digitales que sean mercados en línea, motores de búsqueda en línea y servicios de cloud computing.

Estos operadores se verán afectados por la nueva normativa, tanto si están establecidos en territorio español como si están fuera de España, mediante un representante nacional; y tanto los operadores de servicios esenciales como los de servicios digitales deberán adoptar las medidas pertinentes a nivel organizativo y técnico para prevenir situaciones de inseguridad en las redes y en los sistemas de información, ofrecer soluciones a los problemas de seguridad, e informar de los incidentes de ciberseguridad como veremos a continuación.

No obstante, es importante destacar que este Real Decreto-Ley no se aplicará en los siguientes sectores: 1) a los operadores de redes y servicios de comunicaciones electrónicas y los prestadores de servicios electrónicos de confianza que no estén designados como operadores críticos por la Ley 8/2011 y 2) a los proveedores de servicios digitales clasificados como microempresas o pequeñas empresas, según las definiciones previstas en la Recomendación 2003/361/CE de la Comisión, de 6 de mayo de 2003, sobre la definición de microempresas, pequeñas y medianas empresas.

Título II – Servicios esenciales y servicios digitales

En este título II se especifica que la identificación de los servicios esenciales y de los operadores que los presten se efectuará por los órganos y procedimientos previstos por la Ley 8/2011 y su normativa de desarrollo lo que nos lleva a analizar qué se considera infraestructura crítica y servicio esencial según la misma. En este sentido, dicha Ley define como infraestructuras críticas aquellas cuyo funcionamiento es indispensable y no permite soluciones alternativas, por lo que su perturbación o destrucción tendría un grave impacto sobre los servicios esenciales. Éstos, a su vez, se definen como los servicios necesarios para el mantenimiento de las funciones sociales básicas, la salud, la seguridad, el bienestar social y económico de los ciudadanos, o el eficaz funcionamiento de las Instituciones del Estado y las Administraciones Públicas. Esta definición es la misma que la del Real Decreto-Ley 12/2018, salvo que al final en este último se añade: “(…) que dependa para su provisión de redes y sistemas de información.”

Un operador de servicios esenciales lo será si un incidente sufrido por el operador puede llegar a tener efectos perturbadores significativos en la prestación del servicio, determinándose esos efectos según la importancia del servicio prestado y según los clientes de la entidad evaluada.

Si se trata de un operador crítico designado en cumplimiento de la Ley 8/2011, bastará con que se constate su dependencia de las redes y sistemas de información para la provisión del servicio esencial de que se trate.

Título III – Marco estratégico e institucional

El título III recoge el marco estratégico e institucional de la seguridad de las redes y sistemas de información que se ha descrito anteriormente. Se dedica un precepto específico a la cooperación entre autoridades públicas, como pilar de un ejercicio adecuado de las diferentes competencias concurrentes sobre la materia.

Se prevé la utilización de una plataforma común para la notificación de incidentes de seguridad. Esta plataforma común tiene como objetivo que los operadores no deban efectuar varias notificaciones en función de la autoridad a la que deban dirigirse. Dicha plataforma, podrá ser empleada también para la notificación de vulneraciones de la seguridad de datos personales, según el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales, y a la libre circulación de estos datos, en lo que supone una aproximación al concepto de one-stop shop introducido por esta última regulación.

Título IV – Obligaciones de seguridad

El título IV se ocupa de las obligaciones de seguridad de los operadores. De este modo, regula que los operadores de servicios esenciales y los proveedores de servicios digitales deberán adoptar medidas adecuadas para gestionar los riesgos que se planteen para la seguridad de las redes y sistemas de información que utilicen, aunque su gestión esté externalizada.

Las obligaciones de seguridad que asuman deberán ser proporcionadas al nivel de riesgo que afronten y estar basadas en una evaluación previa de los mismos (Risk Assessment). Obliga igualmente a designar un Responsable de Seguridad de la Información como punto de contacto y de coordinación técnica con la autoridad competente a la que se deberá comunicar igualmente ese nombramiento.

Además, los proveedores de servicios digitales determinarán las medidas de seguridad que aplicarán, teniendo en cuenta, como mínimo, los avances técnicos y los siguientes aspectos: a) La seguridad de los sistemas e instalaciones; b) La gestión de incidentes; c) La gestión de la continuidad de las actividades; d) La supervisión, auditorías y pruebas y e) El cumplimiento de las normas internacionales.

Título V – Notificación de incidentes

En el título V, el más extenso, se regula la notificación de incidentes y se presta atención a los incidentes con impacto transfronterizo y a la información y coordinación con otros Estados de la Unión Europea para su gestión. El Real Decreto-Ley requiere que los operadores de servicios esenciales y los proveedores de servicios digitales notifiquen los incidentes que sufran en las redes y servicios de información que emplean para la prestación de los servicios esenciales y digitales y tengan efectos perturbadores significativos en los mismos, al tiempo que prevé la notificación de los sucesos o incidencias que puedan afectar a los servicios esenciales pero que aún no hayan tenido un efecto adverso real sobre aquellos y perfila los procedimientos de notificación.

La notificación de incidentes forma parte de la cultura de gestión de riesgos que la Directiva transpuesta y el Real Decreto-Ley fomentan. Por ello, esta legislación protege a la entidad notificante y al personal que informe sobre incidentes ocurridos introduciendo cierta génesis de garantía legal para el whistleblower. Asimismo, preserva la información confidencial de su divulgación al público o a otras autoridades distintas de la notificada y permite la notificación de incidentes cuando no sea obligada su comunicación.

A título de ejemplo, son incidentes de seguridad sujetos a notificación los ataques que pretendan la parada o inutilización de servicios tecnológicos, el acceso a información privilegiada, o la manipulación fraudulenta de los sistemas y las redes.

Título VI - Supervisión

En el título VI se disponen las potestades de inspección y control de las autoridades competentes y la cooperación con las autoridades nacionales de otros Estados miembros.

Título VII - Régimen sancionador

Este título tipifica las infracciones y sanciones del Real Decreto-Ley. En este aspecto, éste se decanta por impulsar la subsanación de la infracción antes que su castigo, el cual, si es necesario dispensarlo, será efectivo, proporcionado y disuasorio, en línea con lo ordenado por la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016. Se establecen sanciones administrativas para el caso de incumplimiento del deber de reportar las vulnerabilidades detectadas, entre otros incumplimientos, con multas por valor de hasta un millón de euros.

El Departamento de Derecho Digital de Belzuz Abogados cuenta con profesionales cualificados para prestar la asesoría jurídica necesaria respecto al asesoramiento y defensa de las empresas que puedan estar expuestas a riesgos cibernéticos, pudiendo asistirlas en toda clase de procedimientos de consultoría, judiciales y/o sancionadores.

 Guillermo Dorado Herranz Guillermo Dorado Herranz

Departamento de Tecnologías de la Información y de la Comunicación (TIC)

 

Belzuz Abogados SLP

La presente publicación contiene información de carácter general sin que constituya opinión profesional ni asesoría jurídica. © Belzuz Abogados, S.L.P., quedan reservados todos los derechos. Se prohíbe la explotación, reproducción, distribución, comunicación pública y transformación total o parcial, de esta obra, sin autorización escrita de Belzuz Abogados, S.L.P.

Madrid

Belzuz Abogados - Despacho de Madrid

Nuñez de Balboa 115 bis 1

  28006 Madrid

+34 91 562 50 76

+34 91 562 45 40

Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.

Lisboa

Belzuz Abogados - Despacho de Lisboa

Av. Duque d´Ávila, 141 – 1º Dtº

  1050-081 Lisboa

+351 21 324 05 30

+351 21 347 84 52

Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.

Oporto

Belzuz Abogados - Despacho de Oporto

Rua Julio Dinis 204, Off 314

  4050-318 Oporto

+351 22 938 94 52

+351 22 938 94 54

Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.

Asociaciones

Subir