Noves obligacions i sancions relacionades amb la ciberseguretat

Amb l’objectiu d’incorporar al dret espanyol la Directiva (UE) 2016/1148 del Parlament Europeu i del Consell, de 6 de juliol de 2016, relativa a les mesures destinades a garantir un elevat nivell comú de seguretat de les xarxes i sistemes d’informació en la Unió – coneguda com a “Directiva europea sobre ciberseguretat” “Directiva NIS”- el Govern Espanyol ha aprovat com a mesura d’urgència el Reial Decret – Llei 12/2018, de 7 de setembre, de seguretat de les xarxes i sistemes d’informació.

Quines finalitats té aquest decret-llei?

Regular la seguretat de les xarxes i sistemes d’informació utilitzats per a la provisió dels serveis essencials i dels serveis digitals

Establir un sistema de notificació d’incidents de ciberseguretat

Quin és el seu àmbit d’aplicació?

En concret, el Reial Decret-Llei s’aplicarà a les entitats, exceptuant a petites empreses, que prestin serveis essencials dependents de les xarxes i sistemes d’informació, i aquelles que prestin serveis digitals.

1. Operadors de serveis essencials: són aquells els quals segons l’activitat  permet el desenvolupament d’un “servei necessari per al manteniment de les funcions socials bàsiques, la salut, la seguretat, el benestar social i econòmic dels ciutadans, o l’eficaç funcionament de les Institucions de l’Estat i les Administracions Públiques, que depengui per a la seva provisió de xarxes i sistemes d’informació”.

2. Proveïdors de serveis digitals: Són aquells que presten un servei digital, tals com: mercats en línia, motors de recerca en línia i serveis de computació en núvol, entre d’ altres.

Què entenem per Xarxes i sistemes d’informació:

A l’efecte d’aquest Reial Decret – llei s’entendrà per Xarxes i sistemes d’informació qualsevol dels elements següents:

1. Les xarxes de comunicacions electròniques, tal com vénen definides en el número 31 de l’annex II de la Llei 9/2014, de 9 de maig, General de Telecomunicacions;

2. Tot dispositiu o grup de dispositius interconnectats o relacionats entre si, en el qual un o varis d’ells realitzin, mitjançant un programa, el tractament automàtic de dades digitals;

3. Les dades digitals emmagatzemades, tractats, recuperats o transmesos mitjançant els elements contemplats en els nombres 1r. i 2n. anteriorment esmentats, inclosos els necessaris per al funcionament, utilització, protecció i manteniment d’aquests elements.

Gestió de riscos

Els operadors de serveis essencials i els proveïdors de serveis digitals hauran d’adoptar mesures tècniques i d’organització, adequades i proporcionades, per gestionar els riscos que es plantegin per a la seguretat de les xarxes i sistemes d’informació utilitzats en la prestació dels serveis prestats.

Així mateix, s’estableix en el present Reial Decret – Llei que els prestadors de serveis aboca’ls o proveïdors de serveis digitals tenen el deure notificar els incidents que “puguin ocasionar greus problemes quan ja hagin ocorregut o, de manera preventiva, quan puguin arribar a afectar a la prestació del servei”.

Aquesta comunicació es realitzarà sempre que es tingui la informació necessària per valorar l’impacte de la incidència i estarà justificada amb base en la seva importància, establerta per: el nombre d’afectats, l’extensió geogràfica del problema, la durada i, sobretot, l’abast econòmic i social que provoqui. A més s’haurà d’informar del problema en totes les seves fases; és a dir, es documentaran totes les parts del procés, ampliant tota la informació que sigui  necessària fins a arribar a la notificació final quan ja s’hagi resolt.

Això sí, amb l’objectiu d’augmentar la confiança d’usuaris i prestadors d’aquests serveis, aquest Reial Decret–llei protegeix a l’entitat notificant i al personal que informi sobre incidents ocorreguts, de manera tal que aquells que informin sobre incidents no podran sofrir conseqüències adverses en el seu lloc de treball o amb l’empresa, excepte en els supòsits en què s’acrediti mala fe en la seva actuació.

Procediment per notificacións d’incidències

El Reial Decret–llei preveu la utilització d’una plataforma comuna per a la notificació d’incidents, de tal manera que els operadors no hagin d’efectuar diverses notificacions en funció de l’autoritat a la qual hagin de dirigir-se. Aquesta plataforma podrà ser emprada també per a la notificació de vulneracions de la seguretat de dades personals segons el Reglament (UE) 2016/679 (RGPD) relatiu a la protecció de dades personals.

Sancions

L’incompliment reiterat de l’obligació de notificar incidents amb efectes instigadors significatius en el servei tindrà sancions monetàries per a l’entitat.

Potser estaves buscant:

Seguretat informàtica, consultoria de seguretat informàtica, assessorament en protecció de dades, ciberseguretat.