Con el objetivo de incorporar al derecho español la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión – conocida como «Directiva europea sobre ciberseguridad» «Directiva NIS» – el Gobierno Español ha aprobado como medida de urgencia el Real Decreto – Ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información.
Regular la seguridad de las redes y sistemas de información utilizados para la provisión de los servicios esenciales y los servicios digitales
Establecer un sistema de notificación de incidentes de ciberseguridad
En concreto, el Real Decreto-Ley se aplicará a las entidades, exceptuando pequeñas empresas, que presten servicios esenciales dependientes de las redes y sistemas de información, y aquellas que presten servicios digitales.
A efectos de este Real Decreto – ley se entenderá por Redes y sistemas de información cualquiera de los siguientes elementos:
Los operadores de servicios esenciales y los proveedores de servicios digitales deberán adoptar medidas técnicas y de organización, adecuadas y proporcionadas, para gestionar los riesgos que se planteen para la seguridad de las redes y sistemas de información utilizados en la prestación de los servicios prestados.
Asimismo, se establece en el presente Real Decreto – Ley que los prestadores de servicios viértelos o proveedores de servicios digitales tienen el deber notificar los incidentes que «puedan ocasionar graves problemas cuando ya hayan ocurrido o, de manera preventiva, cuando puedan llegar a afectar a la prestación del servicio «.
Esta comunicación se realizará siempre que se tenga la información necesaria para valorar el impacto de la incidencia y estará justificada con base en su importancia, establecida por: el número de afectados, la extensión geográfica del problema, la duración y, sobre todo , el alcance económico y social que provoque. Además se deberá informar del problema en todas sus fases; es decir, se documentarán todas las partes del proceso, ampliando toda la información que sea necesaria hasta llegar a la notificación final cuando ya se haya resuelto.
Eso sí, con el objetivo de aumentar la confianza de usuarios y prestadores de estos servicios, este Real Decreto-ley protege a la entidad notificando y al personal que informe sobre incidentes ocurridos, de manera tal que aquellos que informen sobre incidentes no podrán sufrir consecuencias adversas en su lugar de trabajo o con la empresa, excepto en los supuestos en que se acredite mala fe en su actuación.
El Real Decreto-ley prevé la utilización de una plataforma común para la notificación de incidentes, de tal manera que los operadores no tengan que efectuar varias notificaciones en función de la autoridad a la que deban dirigirse. Esta plataforma podrá ser utilizada también para la notificación de vulneraciones de la seguridad de datos personales según el Reglamento (UE) 2016/679 (RGPD) relativo a la protección de datos personales.
El incumplimiento reiterado de la obligación de notificar incidentes con efectos instigadores significativos en el servicio tendrá sanciones monetarias para la entidad.
Quizás estabas buscando:
Seguridad informática, consultoría de seguridad informática, asesoramiento en protección de datos, ciberseguridad.