Garantizar la protección de las redes y de los sistemas de información es cada vez más necesario, ya que, en la era digital en la que vivimos estamos constantemente conectados, dependemos más de las nuevas tecnologías, y depositamos nuestra confianza, datos personales, imágenes personales, etc en las redes.
Como consecuencia de nuestro modo de vida tan digitalizado, la Ciberseguridad está siendo un factor cada vez más importante para proteger los intereses económicos y empresariales de un país, porque nos afecta a todos los usuarios en todos los niveles, y hay una necesidad de aumentar la confianza de los usuarios y de los prestadores de servicios a la hora de utilizar las tecnologías de la información.
Por ello, el Gobierno ha aprobado un Real Decreto-Ley para adaptar la Directiva NIS a nivel nacional; se trata de una Directiva europea (la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016), que trata de ciberseguridad y de las medidas creadas para garantizar en el territorio de la Unión Europea el mismo nivel de seguridad y los mismos requisitos tanto en las redes como en los sistemas de información, dando impulso de este modo a la industria de ciberseguridad en Europa.
Mediante este nuevo Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y de los sistemas de información, se han desarrollado los siguientes puntos, con el objetivo de ampliar y afianzar la confianza de los usuarios y de fomentar los servicios digitales a nivel nacional:
- Para poder garantizar la protección de las redes y sistemas de información: se han determinado los sectores donde es necesario adoptar esta medida.
- Para notificar los incidentes de ciberseguridad: se han acordado las exigencias necesarias para llevarlo a cabo.
Hay que tener en cuenta que como la aprobación de un Real Decreto-Ley es una medida de urgencia y debe ser debidamente aprobado en sede Parlamentaria, podrá ser objeto de cambios a través de futuras enmiendas.
Sectores donde se va a garantizar la protección de las redes y de los sistemas de información
El nuevo Real Decreto-Ley se aplicará en concreto a dos tipos de operadores, con la excepción de las pequeñas empresas:
– Operadores de servicios esenciales: como por ejemplo servicios de banca, telecomunicaciones y los sanitarios, esto es, aquellos servicios enfocados al desarrollo de funciones vitales para el conjunto de la sociedad, y que dependan de las redes y de los sistemas de información para poder desarrollar su actividad.
– Operadores/proveedores de servicios digitales: como los motores de búsqueda, los mercados online o los servicios en la nube.
Estos operadores se verán afectados por la nueva normativa, tanto si están establecidos en territorio español como si están fuera de España, mediante un representante nacional; y tanto los operadores de servicios esenciales como los de servicios digitales deberán adoptar las medidas pertinentes a nivel organizativo y técnico para prevenir situaciones de inseguridad en las redes y en los sistemas de información, ofrecer soluciones a los problemas de seguridad, e informar de los incidentes de ciberseguridad.
Este Real Decreto-Ley no se aplicará en los siguientes sectores:
– a los operadores de redes y servicios de comunicaciones electrónicas y los prestadores de servicios electrónicos de confianza que no estén designados como operadores críticos por la Ley 8/2011, 28 de abril.
– a los proveedores de servicios digitales clasificados como microempresas o pequeñas empresas, según las definiciones previstas en la Recomendación 2003/361/CE de la Comisión, de 6 de mayo de 2003, sobre la definición de microempresas, pequeñas y medianas empresas.
Notificación de incidencias
El nuevo Real Decreto-Ley establece que se deberán notificar los incidentes de mayor gravedad detectados en las redes y en los servicios de información, a la hora de prestar los servicios más esenciales y los servicios digitales por parte de sus respectivos operadores.
En el caso de la prestación de servicios esenciales, se deberán comunicar los incidentes de mayor gravedad cuándo éstos ya se hayan producido; y se informará de todas las etapas del problema, hasta su resolución final.
Todo aquél que informe sobre algún incidente, ya sea una empresa o una persona física, quedará protegido por la nueva normativa; según la importancia, tanto económica como social, de una incidencia, servirá de justificación para notificar una incidencia y valorar sus consecuencias.
Medidas de seguridad
Las autoridades competentes deberán colaborar con los operadores con tal de resolver aquellas incidencias que se produzcan por encima de las fronteras; también deberán documentar los ciberataques con la finalidad de crear un registro de incidencias.
Las entidades supervisoras deberán gestionar la creación y organización de protocolos de actuación para saber cómo intervenir tanto nacionalmente como a nivel europeo, y deberán crear las vías de comunicación entre las autoridades y los operadores de servicios para que notifiquen las incidencias de ciberseguridad detectadas y puedan hacer un seguimiento y mantenimiento del registro de incidencias.
Los operadores de servicios esenciales y los de servicios digitales deberán designar un responsable de seguridad dentro de su organización interna que lleve el control y notificación de las incidencias detectadas, y deberán dar cumplimiento a las medidas de seguridad y a las normas técnicas establecidas por las autoridades competentes.
Sanciones
Las Autoridades competentes, en función de la actividad del operador, son las siguientes:
- El Consejo de Seguridad Nacional se encargará de coordinar los diferentes organismos.
- El Centro Nacional de Protección de Infraestructuras y Ciberseguridad (CNPIC): será el encargado para operadores de servicios esenciales.
- La Secretaría de Estado para el Avance Digital, del Ministerio de Economía y Empresa: será el encargado para los proveedores de servicios digitales.
Estas Autoridades se encargarán de sancionar a los operadores si no adoptan las medidas establecidas para dar solución a las incidencias detectadas, y según la gravedad de las infracciones; asimismo también aplicarán sanciones si los operadores no notifican las incidencias detectadas de manera reiterada, o no adoptan medidas preventivas para evitar esas incidencias, o proporcionan información falsa o confusa a las autoridades competentes, o si ponen obstáculos para poder ser auditados con tal de evaluar si han adoptado las medidas de seguridad pertinentes.
