Das neue königliche Gesetzesdekret 12/2018 vom 7. September über die Sicherheit von Netzwerken und Informationssystemen wurde am 8. September 2018 im Amtsblatt des spanisches Staates (BOE) veröffentlicht und trat am Tag nach seiner Veröffentlichung in Kraft. Ziel dieses königlichen Erlasses ist Mechanismen zu schaffen, die mehr Schutz vor den Bedrohungen der Informationsnetze und -systeme bieten und die Koordinierung der in diesem Bereich sowohl auf nationaler Ebene als auch innerhalb der Europäischen Union durchgeführten Maßnahmen zu erleichtern. Mit diesem Königlichen Gesetzesdekret wird die Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates vom 6. Juli 2016 im spanischen Recht umgesetzt.
Das königliche Gesetzesdekret gilt für Unternehmen, die Dienstleistungen für die Gemeinschaft erbringen und bei der Entwicklung ihrer Tätigkeit auf Netzwerke und Informationssysteme angewiesen sind. Sein Geltungsbereich erstreckt sich auf Bereiche, die nicht ausdrücklich in der Richtlinie enthalten sind, um diesem königlichen Gesetzesdekret einen globalen Ansatz zu geben, auch wenn seine spezifische Gesetzgebung beibehalten wird.
Auch für Anbieter bestimmter digitaler Dienste wie Online-Märkte, Online-Suchmaschinen und Cloud-Computing-Dienste gilt dieses königliche Gesetzesdekret.
Gemäß der Richtlinie bestimmt das Königliche Gesetzesdekret die Bereiche, in denen Schutz für Netzwerke und Informationssysteme gewährleistet werden muss, und legt das Verfahren zur Ermittlung, der in diesen Bereichen angebotenen Dienste sowie die wichtigsten Betreiber, die diese Dienste erbringen und die kurz gesagt die Adressaten dieses Königlichen Erlasses sind, fest.
Die Servicedienstleister und die Anbieter digitaler Dienste treffen angemessene technische und organisatorische Maßnahmen, um die Risiken für die Sicherheit, der von ihnen genutzten Netzwerke und Informationssysteme zu überwachen, auch wenn ihr Management ausgelagert wird.
Die Servicedienstleister übermitteln der zuständigen Behörde, die für die Informationssicherheit verantwortliche Person, Einheit oder Organ, das als Kontaktstelle und zur technischen Koordination mit dieser Behörde dient.
Die Anbieter digitaler Dienste legen die von ihnen zu ergreifenden Sicherheitsmaßnahmen fest, wobei der technische Fortschritt und folgende Aspekte berücksichtigt werden:
a) Die Sicherheit von Systemen und Einrichtungen;
b) Vorfallmanagement;
c) Business Continuity Management;
d) Aufsicht, Audits und Tests;
e) Einhaltung internationaler Normen.
Das königliche Gesetzesdekret verpflichtet auch Servicedienstleister und digitale Dienstanbieter, Vorfälle in den Informationsnetzwerken und -diensten zu melden, die sie zur Erbringung digitaler Dienste nutzen und erheblich störende Auswirkungen auf sie haben.
Die Wichtigkeit eines Vorfalls wird durch folgende Faktoren bestimmt:
a) Die Anzahl der Nutzer, die von der Unterbrechung des Dienstes betroffen sind;
b) Die Dauer des Vorfalls;
c) Das Ausmaß oder die geografischen Gebiete, die von dem Vorfall betroffen sind;
d) das Ausmaß der Störung/Unterbrechung des Dienstes;
e) Das Ausmaß der Auswirkungen auf wichtige wirtschaftliche und soziale Aktivitäten;
d) die Bedeutung der betroffenen Systeme oder der von dem Vorfall betroffenen Informationen für die Erbringung der Dienstleistung;
e) Rufschädigung.
Die Nichteinhaltung der Meldepflicht gilt als Verstoß und kann zu einer Geldstrafe von bis zu 1.000.000 EUR führen.
Mika Tsuyuki
Vilá Abogados
Für weitere Informationen, wenden Sie sich bitte an:
5. Oktober 2018
