jordnada Protecció de Dades
Jornada Protección de Datos y Seguridad de la información
21/03/2018
consultoria rgpd
RGPD: Reglamento General de Protección de Datos. HST te ayuda
07/11/2018
Mostrar tot

Nuevas obligaciones y sanciones relacionadas con la ciberseguridad

Con el objetivo de incorporar al derecho español la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión – conocida como «Directiva europea sobre ciberseguridad» «Directiva NIS» – el Gobierno Español ha aprobado como medida de urgencia el Real Decreto – Ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información.

¿Qué finalidades tiene este decreto-ley?

Regular la seguridad de las redes y sistemas de información utilizados para la provisión de los servicios esenciales y los servicios digitales

Establecer un sistema de notificación de incidentes de ciberseguridad

 

¿Cuál es su ámbito de aplicación?

En concreto, el Real Decreto-Ley se aplicará a las entidades, exceptuando pequeñas empresas, que presten servicios esenciales dependientes de las redes y sistemas de información, y aquellas que presten servicios digitales.

  • Operadores de servicios esenciales: son aquellos los que según la actividad permite el desarrollo de un «servicio necesario para el mantenimiento de las funciones sociales básicas, la salud, la seguridad, el bienestar social y económico de los ciudadanos, o el eficaz funcionamiento de las Instituciones del Estado y las Administraciones Públicas, que dependa para su provisión de redes y sistemas de información «
  • Proveedores de servicios digitales: Son aquellos que prestan un servicio digital, tales como: mercados en línea, motores de búsqueda en línea y servicios de computación en nube, entre otros.

¿Qué entendemos por Redes y sistemas de información?

A efectos de este Real Decreto – ley se entenderá por Redes y sistemas de información cualquiera de los siguientes elementos:

  1. Las redes de comunicaciones electrónicas, tal como vienen definidas en el número 31 del anexo II de la Ley 9/2014, de 9 de mayo, General de Telecomunicaciones;
  2. Todo dispositivo o grupo de dispositivos interconectados o relacionados entre sí, en el que uno o varios de ellos realicen, mediante un programa, el tratamiento automático de datos digitales;
  3. Los datos digitales almacenados, tratados, recuperados o transmitidos mediante los elementos contemplados en los números 1º. y 2º. anteriormente mencionados, incluidos los necesarios para el funcionamiento, utilización, protección y mantenimiento de estos elementos.

Gestión de riesgos

Los operadores de servicios esenciales y los proveedores de servicios digitales deberán adoptar medidas técnicas y de organización, adecuadas y proporcionadas, para gestionar los riesgos que se planteen para la seguridad de las redes y sistemas de información utilizados en la prestación de los servicios prestados.

Asimismo, se establece en el presente Real Decreto – Ley que los prestadores de servicios viértelos o proveedores de servicios digitales tienen el deber notificar los incidentes que «puedan ocasionar graves problemas cuando ya hayan ocurrido o, de manera preventiva, cuando puedan llegar a afectar a la prestación del servicio «.

Esta comunicación se realizará siempre que se tenga la información necesaria para valorar el impacto de la incidencia y estará justificada con base en su importancia, establecida por: el número de afectados, la extensión geográfica del problema, la duración y, sobre todo , el alcance económico y social que provoque. Además se deberá informar del problema en todas sus fases; es decir, se documentarán todas las partes del proceso, ampliando toda la información que sea necesaria hasta llegar a la notificación final cuando ya se haya resuelto.

Eso sí, con el objetivo de aumentar la confianza de usuarios y prestadores de estos servicios, este Real Decreto-ley protege a la entidad notificando y al personal que informe sobre incidentes ocurridos, de manera tal que aquellos que informen sobre incidentes no podrán sufrir consecuencias adversas en su lugar de trabajo o con la empresa, excepto en los supuestos en que se acredite mala fe en su actuación.

 

Procedimiento para notificaciones de incidencias

El Real Decreto-ley prevé la utilización de una plataforma común para la notificación de incidentes, de tal manera que los operadores no tengan que efectuar varias notificaciones en función de la autoridad a la que deban dirigirse. Esta plataforma podrá ser utilizada también para la notificación de vulneraciones de la seguridad de datos personales según el Reglamento (UE) 2016/679 (RGPD) relativo a la protección de datos personales.

 

Sanciones

El incumplimiento reiterado de la obligación de notificar incidentes con efectos instigadores significativos en el servicio tendrá sanciones monetarias para la entidad.

 

 

 

 

Quizás estabas buscando:

Seguridad informática, consultoría de seguridad informática, asesoramiento en protección de datos, ciberseguridad.

Contactar 973 72 71 72


    Tractem les dades que ens facilita amb la finalitat de donar resposta a la consulta sobre els nostres productes i serveis per qualsevol mitjà (postal, email o telèfon). Les dades proporcionades es conservaràn mentres no ho soliciteu i no es cediran a tercers, excepte en els casos que s’hagi de fer per una obligació legal. Vostè te dret a obtenir confirmació sobre si a HST estem tractant les seves dades personals, rectificar les dades inexactes o solicitar la supressió quan ja no siguin necessàries per les finalitats que van ser recollides.


    Desitja rebre comunicats de marketing de HST per correu electrònic i entenent que les seves dades personals es tractaran com la política de privacitat


    Contactar 973 72 71 72


      Tratamos los datos que nos facilita con el fin de dar respuesta a la consulta sobre nuestros productos y servicios por cualquier medio (postal, email o teléfono). Los datos proporcionados se conservarán mientras no solicite el cese de la actividad. Los datos no se cederán a terceros salvo en los casos en que exista una obligación legal. Usted tiene derecho a obtener confirmación sobre si en HST estamos tratando sus datos personales por tanto tiene derecho a acceder a sus datos personales, rectificar los datos inexactos o solicitar su supresión cuando los datos ya no sean necesarios para los fines que fueron recogidos.


      Desea recibir comunicados de marketing de HST por correo electrónico y entendiendo que sus datos personales se tratarán como la política de privacidad