Con el objetivo de estar preparados ante los ciberataques que amenazan a una sociedad cada vez más hiperconectada, el Gobierno Español ha aprobado como medida de urgencia el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información. De esta forma se transpone al ordenamiento jurídico español la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión.
Como ya adelantó Confianza Online, la Ciberseguridad es clave en la protección de los intereses económicos y empresariales de un país y por esa razón, las empresas deben implantar protocolos que permitan afrontar las posibles brechas de seguridad que puedan afectarles.
Para establecer criterios efectivos que sienten las bases de la prevención y aprendizaje continuo que se requiere en la seguridad online, la normativa establece, entre otros puntos, las obligaciones y necesidades de notificaciones que tendrán que realizar las compañías ante cualquier problema de seguridad detectado, además de especificar el tipo de empresas que entran dentro del ámbito de su aplicación.
En concreto, el real decreto-ley se aplicará, exceptuando a pequeñas empresas, a dos tipos de operadores (tanto establecidos en España como fuera del país con un representante nacional):
- De servicios esenciales: aquellos cuya actividad permite el desarrollo de funciones vitales para la sociedad como pueden ser las de la banca, telecomunicaciones y las sanitarias. Dada su gran importancia deberán estar identificados a través de un listado actualizado cada dos años que permita elaborar evaluaciones de impacto sobre posibles problemas de seguridad.
- De servicios digitales: motores de búsqueda, mercados online o servicios en la nube.
Ambos operadores tendrán que poner en marcha todas las medidas, tanto técnicas como organizativas, que les permitan gestionar y solucionar problemas de seguridad, notificar incidentes y prevenir cualquier incidencia o reducir al máximo posible el impacto de sus consecuencias.
En cuando al deber de notificación, se comunicarán los incidentes que puedan ocasionar graves problemas cuando ya hayan ocurrido o, de manera preventiva, cuando puedan llegar a afectar a la prestación de servicios esenciales. Esta comunicación se realizará siempre que se tenga la información necesaria para valorar el impacto de la incidencia y estará justificada en base a su importancia, establecida por el número de afectados, la extensión geográfica del problema, la duración y, sobre todo, el alcance económico y social que provoque. Además se deberá informar del problema en todas sus fases; es decir, se documentarán todas las partes del proceso, ampliando toda la información que fuera necesaria hasta llegar a la notificación final cuando ya se haya resuelto.
A la hora de establecer medidas de seguridad, además de designar un responsable de seguridad, los operadores tendrán en cuenta las pautas externas determinadas por las autoridades competentes y las instrucciones técnicas y guías orientativas elaboradas para facilitar el cumplimiento de la ley.
Las autoridades, por su parte, responsables de asegurar el cumplimiento normativo, ejercerán una importante labor de colaboración para la resolución de incidencias en ataques transfronterizos. De esta manera serán una figura clave en el proceso de documentación de ciberataques que permitirá crear y gestionar una plataforma común de información sobre las incidencias registradas anualmente.
Como entidades supervisoras deberán también crear y asegurar el funcionamiento de los canales de comunicación necesarios para notificar incidencias y hacer seguimiento, coordinar los protocolos de actuación a nivel nacional y europeo, informar al público cuando sea necesario para evitar mayores problemas y cooperar en la protección de datos de carácter personal.
Por último, ejercerán la actividad sancionadora en función de la gravedad de las infracciones cuando los operadores no lleven a cabo las medidas necesarias para solucionar problemas de seguridad detectados, cuando no se notifiquen los incidentes de manera reiterada, no se lleven a cabo acciones preventivas, aporten información falsa o confusa y cuando se dificulte o impida el desarrollo de auditorías que evalúan las medidas de seguridad adoptadas.
Autoridades competentes en función de la actividad del operador
El Consejo de Seguridad Nacional coordinará a los diferentes organismos.
Para operadores de servicios esenciales:
Para proveedores de servicios digitales:
Para ambos, pero cuando no sean incidentes críticos que afecten al funcionamiento de actividades o servicios esenciales para la sociedad, se establece como referencia el Centro Criptológico Nacional.
Próximos pasos
Dado que como mencionamos al principio de la noticia el presente Decreto-Ley es una medida de urgencia tendrá que ser convalidado en el Parlamento y por lo tanto podrá ser objeto de cambios a través de enmiendas.