Actualización de normativa referente a Ciberseguridad con el nuevo RDL 12/2018

El pasado 8 de septiembre del 2018 fue publicado el Real Decreto Ley 12/2018, de 7 de septiembre, sobre la seguridad de las redes y sistemas de información. Este se transpone ante la Directiva del Parlamento Europeo y del Consejo destinada a mejorar la seguridad de las redes y sistemas de información de la Unión, mejor conocida como Directiva NIS.

Últimamente hemos visto como las entidades gubernamentales han prestado especial atención a las actualizaciones de normativas referentes a las leyes sobre la protección del usuario en la red, debido a creciente desarrollo de internet dentro de la sociedad, que hoy en día cumple un papel crucial en el desenvolvimiento natural de las actividades económicas y sociales.

Es por esto, que los incidentes que puedan afectar directamente esas actividades representan una amenaza grave, que pueden generar grandes pérdidas financieras y afectar la confianza y seguridad de la población.

Bajo este argumento, se dicta el Real Decreto Ley 12/2018 que pretende regular y reforzar la seguridad de las redes y sistema de información utilizados para la provisión de los servicios esenciales y de los servicios digitales. Además extiende su ámbito de aplicación a otros aspectos que no se encuentran incluidos en la normativa de la Directiva NIS.

Comparación de las medidas de la Directiva NIS y el nuevo Real Decreto Ley 12/2018:

Directiva NIS Real Decreto Ley
Medidas para la protección de infraestructuras críticas: administración, agua, alimentación, espacio, industria química, industria nuclear, instalaciones de investigación, salud, sistema financiero y tributario, transporte, tecnologías de la información y las comunicaciones. Además de las mencionadas por la LPIC, se extiende a otros sectores como son los Prestadores de Servicios Digitales que sean mercados en línea, buscadores y prestadores de servicios Cloud.
Obligación de identificar los operadores de servicios esenciales y proveedores de servicios digitales de los Estados Miembros. Establece procedimientos para identificar los servicios esenciales ofrecidos, así como los principales operadores que prestan dichos servicios.
Comunicación y notificación a la comisión y a la autoridad nacional competente de los incidentes con “efecto perturbador significativo” (aquellos incidentes de ciberseguridad que pudieran tener efectos significativos) Implementación de un sistema de notificación de incidentes significativos que ocurran en las redes y servicios de información para la prestación de servicios esenciales y digitales.
Desarrollo y comunicación a la Comisión de una estrategia nacional de seguridad de las redes y sistemas de información. Implementar medidas técnicas y de organización adecuadas para analizar los riesgos antes de que estos sucedan y aplicar las medidas preventivas necesarias.
La cooperación a escala nacional e internacional, mediante el establecimiento de una red en la cual los Estados miembros puedan intercambiar información, y la creación de un grupo de cooperación a nivel europeo. Creación de un marco estratégico de seguridad y el nombramiento de autoridades competentes para la coordinación entre autoridades y órganos de cooperación europeos. 

 

En cuanto a Prestadores de Servicios Digitales, son todos aquellos que conlleven una actividad económica por parte del prestador de servicios. Se consideran como tales: la contratación de bienes o servicios por vía electrónica, la organización y gestión de subastas por medios electrónicos y centros comerciales virtuales, compras en la red por grupos de personas, envió de comunicaciones comerciales y el suministro de información por vía telemática.

Otras de las cosas que es importante destacar del nuevo RDL es que la normativa no aplicará a aquellos prestadores de servicios digitales que sean microempresarios o medianas empresas que manejen una nomina menor a 50 empleados o facturen menos de 10 millones de euros anuales. Estas quedaran excluidas. Además, también hay que señalar el papel relevante que tendrán como equipos de respuestas a incidentes de seguridad informática (CSIRT) el CCN-CERT, el INCIBE-CERT y el ESPDEF-CERT.

Autoridades competentes:

  • La Secretaría de Estado de Seguridad del Ministerio de Interior, a través del Centro Nacional de Protección de Infraestructuras y Ciberseguridad (CNPIC) será encargada de los operadores de servicios esenciales.
  • La secretaría de Estado para el Avance Digital, del Ministerio de Economía y Empresa, será la encargada de los Operadores de servicios esenciales y proveedores de servicios digitales que no siendo operadores críticos se encuentres dentro de la aplicación de la Ley 40/2015.
  • El Consejo de Seguridad Nacional por medio de su comité especializado en ciberseguridad, determinaran los mecanismos necesarios para la coordinación de los organismos competentes.

Cosas por concretar:

Aunque aun hace falta que se desarrolle un reglamento que establezca concretamente las medidas necesarias y que delimite su contenido, la normativa exige el cumplimiento de los siguientes aspectos: seguridad de los sistemas e instalaciones, la gestión de incidentes, gestión de continuidad de las actividades; supervisión, auditorias y pruebas, por último el cumplimiento de las normas internacionales.

En definitiva, se espera que con todas las reformas de ley, nuevas normativas y la aprobación de este RDL se mejore la seguridad en las redes y sistemas de información, garantizando una red más segura, aumentando la confianza de los usuarios y pueda existir transparencia entre el usuario, los prestadores de servicios digitales y la red.