jordnada Protecció de Dades
Jornada Protecció de Dades i Seguretat de la informació
21/03/2018
Mostrat tot

Noves obligacions i sancions relacionades amb la ciberseguretat

cyberseguretat

Amb l’objectiu d’incorporar al dret espanyol la Directiva (UE) 2016/1148 del Parlament Europeu i del Consell, de 6 de juliol de 2016, relativa a les mesures destinades a garantir un elevat nivell comú de seguretat de les xarxes i sistemes d’informació en la Unió – coneguda com a “Directiva europea sobre ciberseguretat” “Directiva NIS”- el Govern Espanyol ha aprovat com a mesura d’urgència el Reial Decret – Llei 12/2018, de 7 de setembre, de seguretat de les xarxes i sistemes d’informació.

 

Quines finalitats té aquest decret-llei?

Regular la seguretat de les xarxes i sistemes d’informació utilitzats per a la provisió dels serveis essencials i dels serveis digitals

Establir un sistema de notificació d’incidents de ciberseguretat

 

Quin és el seu àmbit d’aplicació?

En concret, el Reial Decret-Llei s’aplicarà a les entitats, exceptuant a petites empreses, que prestin serveis essencials dependents de les xarxes i sistemes d’informació, i aquelles que prestin serveis digitals.

 

  1. Operadors de serveis essencials: són aquells els quals segons l’activitat  permet el desenvolupament d’un “servei necessari per al manteniment de les funcions socials bàsiques, la salut, la seguretat, el benestar social i econòmic dels ciutadans, o l’eficaç funcionament de les Institucions de l’Estat i les Administracions Públiques, que depengui per a la seva provisió de xarxes i sistemes d’informació”.

 

  1. Proveïdors de serveis digitals: Són aquells que presten un servei digital, tals com: mercats en línia, motors de recerca en línia i serveis de computació en núvol, entre d’ altres.

 

Què entenem per Xarxes i sistemes d’informació:

A l’efecte d’aquest Reial Decret – llei s’entendrà per Xarxes i sistemes d’informació qualsevol dels elements següents:

 

  1. Les xarxes de comunicacions electròniques, tal com vénen definides en el número 31 de l’annex II de la Llei 9/2014, de 9 de maig, General de Telecomunicacions;

 

  1. Tot dispositiu o grup de dispositius interconnectats o relacionats entre si, en el qual un o varis d’ells realitzin, mitjançant un programa, el tractament automàtic de dades digitals;

 

  1. Les dades digitals emmagatzemades, tractats, recuperats o transmesos mitjançant els elements contemplats en els nombres 1r. i 2n. anteriorment esmentats, inclosos els necessaris per al funcionament, utilització, protecció i manteniment d’aquests elements.

 

Gestió de riscos

Els operadors de serveis essencials i els proveïdors de serveis digitals hauran d’adoptar mesures tècniques i d’organització, adequades i proporcionades, per gestionar els riscos que es plantegin per a la seguretat de les xarxes i sistemes d’informació utilitzats en la prestació dels serveis prestats.

Així mateix, s’estableix en el present Reial Decret – Llei que els prestadors de serveis aboca’ls o proveïdors de serveis digitals tenen el deure notificar els incidents que “puguin ocasionar greus problemes quan ja hagin ocorregut o, de manera preventiva, quan puguin arribar a afectar a la prestació del servei”.

Aquesta comunicació es realitzarà sempre que es tingui la informació necessària per valorar l’impacte de la incidència i estarà justificada amb base en la seva importància, establerta per: el nombre d’afectats, l’extensió geogràfica del problema, la durada i, sobretot, l’abast econòmic i social que provoqui. A més s’haurà d’informar del problema en totes les seves fases; és a dir, es documentaran totes les parts del procés, ampliant tota la informació que sigui  necessària fins a arribar a la notificació final quan ja s’hagi resolt.

Això sí, amb l’objectiu d’augmentar la confiança d’usuaris i prestadors d’aquests serveis, aquest Reial Decret–llei protegeix a l’entitat notificant i al personal que informi sobre incidents ocorreguts, de manera tal que aquells que informin sobre incidents no podran sofrir conseqüències adverses en el seu lloc de treball o amb l’empresa, excepte en els supòsits en què s’acrediti mala fe en la seva actuació.

 

Procediment per notificacións d’incidències

El Reial Decret–llei preveu la utilització d’una plataforma comuna per a la notificació d’incidents, de tal manera que els operadors no hagin d’efectuar diverses notificacions en funció de l’autoritat a la qual hagin de dirigir-se. Aquesta plataforma podrà ser emprada també per a la notificació de vulneracions de la seguretat de dades personals segons el Reglament (UE) 2016/679 (RGPD) relatiu a la protecció de dades personals.

 

Sancions

L’incompliment reiterat de l’obligació de notificar incidents amb efectes instigadors significatius en el servei tindrà sancions monetàries per a l’entitat.

 

 

 

 

Potser estaves buscant:

Seguretat informàtica, consultoria de seguretat informàtica, assessorament en protecció de dades, ciberseguretat.

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies