jordnada Protecció de Dades
Jornada Protección de Datos y Seguridad de la información
21/03/2018
consultoria rgpd
RGPD: Reglamento General de Protección de Datos. HST te ayuda
07/11/2018
Mostrar tot

Nuevas obligaciones y sanciones relacionadas con la ciberseguridad

cyberseguretat

Con el objetivo de incorporar al derecho español la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión – conocida como “Directiva europea sobre ciberseguridad” “Directiva NIS” – el Gobierno Español ha aprobado como medida de urgencia el Real Decreto – Ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información.

¿Qué finalidades tiene este decreto-ley?

Regular la seguridad de las redes y sistemas de información utilizados para la provisión de los servicios esenciales y los servicios digitales

Establecer un sistema de notificación de incidentes de ciberseguridad

 

¿Cuál es su ámbito de aplicación?

En concreto, el Real Decreto-Ley se aplicará a las entidades, exceptuando pequeñas empresas, que presten servicios esenciales dependientes de las redes y sistemas de información, y aquellas que presten servicios digitales.

  • Operadores de servicios esenciales: son aquellos los que según la actividad permite el desarrollo de un “servicio necesario para el mantenimiento de las funciones sociales básicas, la salud, la seguridad, el bienestar social y económico de los ciudadanos, o el eficaz funcionamiento de las Instituciones del Estado y las Administraciones Públicas, que dependa para su provisión de redes y sistemas de información “
  • Proveedores de servicios digitales: Son aquellos que prestan un servicio digital, tales como: mercados en línea, motores de búsqueda en línea y servicios de computación en nube, entre otros.

¿Qué entendemos por Redes y sistemas de información?

A efectos de este Real Decreto – ley se entenderá por Redes y sistemas de información cualquiera de los siguientes elementos:

  1. Las redes de comunicaciones electrónicas, tal como vienen definidas en el número 31 del anexo II de la Ley 9/2014, de 9 de mayo, General de Telecomunicaciones;
  2. Todo dispositivo o grupo de dispositivos interconectados o relacionados entre sí, en el que uno o varios de ellos realicen, mediante un programa, el tratamiento automático de datos digitales;
  3. Los datos digitales almacenados, tratados, recuperados o transmitidos mediante los elementos contemplados en los números 1º. y 2º. anteriormente mencionados, incluidos los necesarios para el funcionamiento, utilización, protección y mantenimiento de estos elementos.

Gestión de riesgos

Los operadores de servicios esenciales y los proveedores de servicios digitales deberán adoptar medidas técnicas y de organización, adecuadas y proporcionadas, para gestionar los riesgos que se planteen para la seguridad de las redes y sistemas de información utilizados en la prestación de los servicios prestados.

Asimismo, se establece en el presente Real Decreto – Ley que los prestadores de servicios viértelos o proveedores de servicios digitales tienen el deber notificar los incidentes que “puedan ocasionar graves problemas cuando ya hayan ocurrido o, de manera preventiva, cuando puedan llegar a afectar a la prestación del servicio “.

Esta comunicación se realizará siempre que se tenga la información necesaria para valorar el impacto de la incidencia y estará justificada con base en su importancia, establecida por: el número de afectados, la extensión geográfica del problema, la duración y, sobre todo , el alcance económico y social que provoque. Además se deberá informar del problema en todas sus fases; es decir, se documentarán todas las partes del proceso, ampliando toda la información que sea necesaria hasta llegar a la notificación final cuando ya se haya resuelto.

Eso sí, con el objetivo de aumentar la confianza de usuarios y prestadores de estos servicios, este Real Decreto-ley protege a la entidad notificando y al personal que informe sobre incidentes ocurridos, de manera tal que aquellos que informen sobre incidentes no podrán sufrir consecuencias adversas en su lugar de trabajo o con la empresa, excepto en los supuestos en que se acredite mala fe en su actuación.

 

Procedimiento para notificaciones de incidencias

El Real Decreto-ley prevé la utilización de una plataforma común para la notificación de incidentes, de tal manera que los operadores no tengan que efectuar varias notificaciones en función de la autoridad a la que deban dirigirse. Esta plataforma podrá ser utilizada también para la notificación de vulneraciones de la seguridad de datos personales según el Reglamento (UE) 2016/679 (RGPD) relativo a la protección de datos personales.

 

Sanciones

El incumplimiento reiterado de la obligación de notificar incidentes con efectos instigadores significativos en el servicio tendrá sanciones monetarias para la entidad.

 

 

 

 

Quizás estabas buscando:

Seguridad informática, consultoría de seguridad informática, asesoramiento en protección de datos, ciberseguridad.

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies