Actualización de normativa referente a Ciberseguridad con el nuevo RDL 12/2018
El pasado 8 de septiembre del 2018 fue publicado el Real Decreto Ley 12/2018, de 7 de septiembre, sobre la seguridad de las redes y sistemas de información. Este se transpone ante la Directiva del Parlamento Europeo y del Consejo destinada a mejorar la seguridad de las redes y sistemas de información de la Unión, mejor conocida como Directiva NIS.
Últimamente hemos visto como las entidades gubernamentales han prestado especial atención a las actualizaciones de normativas referentes a las leyes sobre la protección del usuario en la red, debido a creciente desarrollo de internet dentro de la sociedad, que hoy en día cumple un papel crucial en el desenvolvimiento natural de las actividades económicas y sociales.
Es por esto, que los incidentes que puedan afectar directamente esas actividades representan una amenaza grave, que pueden generar grandes pérdidas financieras y afectar la confianza y seguridad de la población.
Bajo este argumento, se dicta el Real Decreto Ley 12/2018 que pretende regular y reforzar la seguridad de las redes y sistema de información utilizados para la provisión de los servicios esenciales y de los servicios digitales. Además extiende su ámbito de aplicación a otros aspectos que no se encuentran incluidos en la normativa de la Directiva NIS.
Comparación de las medidas de la Directiva NIS y el nuevo Real Decreto Ley 12/2018:
Directiva NIS | Real Decreto Ley |
Medidas para la protección de infraestructuras críticas: administración, agua, alimentación, espacio, industria química, industria nuclear, instalaciones de investigación, salud, sistema financiero y tributario, transporte, tecnologías de la información y las comunicaciones. | Además de las mencionadas por la LPIC, se extiende a otros sectores como son los Prestadores de Servicios Digitales que sean mercados en línea, buscadores y prestadores de servicios Cloud. |
Obligación de identificar los operadores de servicios esenciales y proveedores de servicios digitales de los Estados Miembros. | Establece procedimientos para identificar los servicios esenciales ofrecidos, así como los principales operadores que prestan dichos servicios. |
Comunicación y notificación a la comisión y a la autoridad nacional competente de los incidentes con “efecto perturbador significativo” (aquellos incidentes de ciberseguridad que pudieran tener efectos significativos) | Implementación de un sistema de notificación de incidentes significativos que ocurran en las redes y servicios de información para la prestación de servicios esenciales y digitales. |
Desarrollo y comunicación a la Comisión de una estrategia nacional de seguridad de las redes y sistemas de información. | Implementar medidas técnicas y de organización adecuadas para analizar los riesgos antes de que estos sucedan y aplicar las medidas preventivas necesarias. |
La cooperación a escala nacional e internacional, mediante el establecimiento de una red en la cual los Estados miembros puedan intercambiar información, y la creación de un grupo de cooperación a nivel europeo. | Creación de un marco estratégico de seguridad y el nombramiento de autoridades competentes para la coordinación entre autoridades y órganos de cooperación europeos. |
En cuanto a Prestadores de Servicios Digitales, son todos aquellos que conlleven una actividad económica por parte del prestador de servicios. Se consideran como tales: la contratación de bienes o servicios por vía electrónica, la organización y gestión de subastas por medios electrónicos y centros comerciales virtuales, compras en la red por grupos de personas, envió de comunicaciones comerciales y el suministro de información por vía telemática.
Otras de las cosas que es importante destacar del nuevo RDL es que la normativa no aplicará a aquellos prestadores de servicios digitales que sean microempresarios o medianas empresas que manejen una nomina menor a 50 empleados o facturen menos de 10 millones de euros anuales. Estas quedaran excluidas. Además, también hay que señalar el papel relevante que tendrán como equipos de respuestas a incidentes de seguridad informática (CSIRT) el CCN-CERT, el INCIBE-CERT y el ESPDEF-CERT.
Autoridades competentes:
- La Secretaría de Estado de Seguridad del Ministerio de Interior, a través del Centro Nacional de Protección de Infraestructuras y Ciberseguridad (CNPIC) será encargada de los operadores de servicios esenciales.
- La secretaría de Estado para el Avance Digital, del Ministerio de Economía y Empresa, será la encargada de los Operadores de servicios esenciales y proveedores de servicios digitales que no siendo operadores críticos se encuentres dentro de la aplicación de la Ley 40/2015.
- El Consejo de Seguridad Nacional por medio de su comité especializado en ciberseguridad, determinaran los mecanismos necesarios para la coordinación de los organismos competentes.
Cosas por concretar:
Aunque aun hace falta que se desarrolle un reglamento que establezca concretamente las medidas necesarias y que delimite su contenido, la normativa exige el cumplimiento de los siguientes aspectos: seguridad de los sistemas e instalaciones, la gestión de incidentes, gestión de continuidad de las actividades; supervisión, auditorias y pruebas, por último el cumplimiento de las normas internacionales.
En definitiva, se espera que con todas las reformas de ley, nuevas normativas y la aprobación de este RDL se mejore la seguridad en las redes y sistemas de información, garantizando una red más segura, aumentando la confianza de los usuarios y pueda existir transparencia entre el usuario, los prestadores de servicios digitales y la red.