Nuevas obligaciones y sanciones relacionadas con la ciberseguridad

Con el objetivo de incorporar al derecho español la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión – conocida como «Directiva europea sobre ciberseguridad» «Directiva NIS» – el Gobierno Español ha aprobado como medida de urgencia el Real Decreto – Ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información.

¿Qué finalidades tiene este decreto-ley?

Regular la seguridad de las redes y sistemas de información utilizados para la provisión de los servicios esenciales y los servicios digitales

Establecer un sistema de notificación de incidentes de ciberseguridad

¿Cuál es su ámbito de aplicación?

En concreto, el Real Decreto-Ley se aplicará a las entidades, exceptuando pequeñas empresas, que presten servicios esenciales dependientes de las redes y sistemas de información, y aquellas que presten servicios digitales.

• Operadores de servicios esenciales: son aquellos los que según la actividad permite el desarrollo de un «servicio necesario para el mantenimiento de las funciones sociales básicas, la salud, la seguridad, el bienestar social y económico de los ciudadanos, o el eficaz funcionamiento de las Instituciones del Estado y las Administraciones Públicas, que dependa para su provisión de redes y sistemas de información «
• Proveedores de servicios digitales: Son aquellos que prestan un servicio digital, tales como: mercados en línea, motores de búsqueda en línea y servicios de computación en nube, entre otros.

¿Qué entendemos por Redes y sistemas de información?

A efectos de este Real Decreto – ley se entenderá por Redes y sistemas de información cualquiera de los siguientes elementos:

1. Las redes de comunicaciones electrónicas, tal como vienen definidas en el número 31 del anexo II de la Ley 9/2014, de 9 de mayo, General de Telecomunicaciones;
2. Todo dispositivo o grupo de dispositivos interconectados o relacionados entre sí, en el que uno o varios de ellos realicen, mediante un programa, el tratamiento automático de datos digitales;
3. Los datos digitales almacenados, tratados, recuperados o transmitidos mediante los elementos contemplados en los números 1º. y 2º. anteriormente mencionados, incluidos los necesarios para el funcionamiento, utilización, protección y mantenimiento de estos elementos.

Gestión de riesgos

Los operadores de servicios esenciales y los proveedores de servicios digitales deberán adoptar medidas técnicas y de organización, adecuadas y proporcionadas, para gestionar los riesgos que se planteen para la seguridad de las redes y sistemas de información utilizados en la prestación de los servicios prestados.

Asimismo, se establece en el presente Real Decreto – Ley que los prestadores de servicios viértelos o proveedores de servicios digitales tienen el deber notificar los incidentes que «puedan ocasionar graves problemas cuando ya hayan ocurrido o, de manera preventiva, cuando puedan llegar a afectar a la prestación del servicio «.

Esta comunicación se realizará siempre que se tenga la información necesaria para valorar el impacto de la incidencia y estará justificada con base en su importancia, establecida por: el número de afectados, la extensión geográfica del problema, la duración y, sobre todo , el alcance económico y social que provoque. Además se deberá informar del problema en todas sus fases; es decir, se documentarán todas las partes del proceso, ampliando toda la información que sea necesaria hasta llegar a la notificación final cuando ya se haya resuelto.

Eso sí, con el objetivo de aumentar la confianza de usuarios y prestadores de estos servicios, este Real Decreto-ley protege a la entidad notificando y al personal que informe sobre incidentes ocurridos, de manera tal que aquellos que informen sobre incidentes no podrán sufrir consecuencias adversas en su lugar de trabajo o con la empresa, excepto en los supuestos en que se acredite mala fe en su actuación.

Procedimiento para notificaciones de incidencias

El Real Decreto-ley prevé la utilización de una plataforma común para la notificación de incidentes, de tal manera que los operadores no tengan que efectuar varias notificaciones en función de la autoridad a la que deban dirigirse. Esta plataforma podrá ser utilizada también para la notificación de vulneraciones de la seguridad de datos personales según el Reglamento (UE) 2016/679 (RGPD) relativo a la protección de datos personales.

Sanciones

El incumplimiento reiterado de la obligación de notificar incidentes con efectos instigadores significativos en el servicio tendrá sanciones monetarias para la entidad.

Quizás estabas buscando:

Seguridad informática, consultoría de seguridad informática, asesoramiento en protección de datos, ciberseguridad.