En el BOE de fecha 8 de septiembre de 2018 se publicó el nuevo Real Decreto-Ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información, que entró en vigor el siguiente día de la publicación. Este real decreto-ley tiene por objeto establecer mecanismos que, con una perspectiva integral, permitan mejorar la protección frente a las amenazas que afectan a las redes y sistemas de información, facilitando la coordinación de las actuaciones realizadas en esta materia tanto a nivel nacional como dentro de la Unión Europea. Este real-decreto ley transpone al ordenamiento jurídico español la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016.

El real decreto-ley se aplica a las entidades que presten servicios esenciales para la comunidad y dependan de las redes y sistemas de información para el desarrollo de su actividad. Y su ámbito se extiende a sectores que no están expresamente incluidos en la Directiva, para darle a este real decreto-ley un enfoque global, aunque se preserva su legislación especifica.

También este real decreto-ley se aplicará a los proveedores de determinados servicios digitales, tales como mercados en línea, motores de búsqueda en línea y servicios de computación en nube.

Siguiendo la Directiva, el real decreto-ley identifica los sectores en los que es necesario garantizar la protección de las redes y sistemas de información, y establece procedimientos para identificar los servicios esenciales ofrecidos en dichos sectores, así como los principales operadores que prestan dichos servicios, que son, en definitiva, los destinatarios de este real decreto-ley.

Los operadores de servicios esenciales y los proveedores de servicios digitales deberán adoptar medidas técnicas y de organización, adecuadas y proporcionadas, para gestionar los riesgos que se planteen para la seguridad de las redes y sistemas de información que utilicen, aun que su gestión esté externalizada.
Los operadores de servicios esenciales designarán y comunicarán a la autoridad competente la persona, unidad u órgano colegiado responsable de la seguridad de la información como punto de contacto y de coordinación técnica con aquella.

Los proveedores de servicios digitales determinarán las medidas de seguridad que aplicarán, teniendo en cuenta, como mínimo, los avances técnicos y los siguientes aspectos:

a) La seguridad de los sistemas e instalaciones;

b) La gestión de incidentes;

c) La gestión de continuidad de las actividades;

d) La supervisión, auditorías y pruebas;

e) El cumplimiento de las normas internacionales.

El real decreto-ley requiere así mismo que los operadores de servicios esenciales y los proveedores de servicios digitales notifiquen los incidentes que sufran en las redes y servicios de información que emplean para la prestación de los servicios esenciales y digitales, y tengan efectos perturbadores significativos en los mismos, al tiempo que prevé la notificación de los sucesos o incidencias que puedan afectar a los servicios esenciales.

A los efectos de las notificaciones, la importancia de un incidente se determinará teniendo en cuenta, como mínimo, los siguientes factores:

a) El número de usuarios afectados por la perturbación del servicio esencial;

b) La duración del incidente;

c) La extensión o áreas geográficas afectadas por el incidente;

d) El grado de perturbación del funcionamiento del servicio;

e) El alcance del impacto en actividades económicas y sociales cruciales;

f) La importancia de los sistemas afectados o de la información afectada por el incidente para la prestación del servicio esencial;

g) El daño a la reputación.

El incumplimiento de la obligación de notificaciones se considerará infracción sujeta a las sanciones de multa al máximo de 1.000.000 euros.

 

 

Mika Tsuyuki

Vilá Abogados

 

Para más información, por favor contacte con:

va@vila.es

 

5 de octubre de 2018