Ciber seguridad, redes y transposici贸n en Espa帽a. (II) Ambito

Spread the love

El real decreto-ley 12/2018 se aplicar谩 a las entidades que presten servicios esenciales para la comunidad y dependan de las redes y sistemas de informaci贸n para el desarrollo de su actividad (ver entrada anterior).**

NYC_by Jara IPM. Freedom Statue

 

Su 谩mbito de aplicaci贸n se extiende tambi茅n a sectores que no est谩n expresamente incluidos en la Directiva, aunque sin perjuicio de su legislaci贸n espec铆fica. Especialmente en el caso de los operadores de servicios esenciales, su designaci贸n se realiza conforme a legislaci贸n sectorial

  • Ve铆amos que las actividades de explotaci贸n de las redes y de prestaci贸n de servicios de comunicaciones electr贸nicas y los recursos asociados, as铆 como de los servicios electr贸nicos de confianza, est谩n expresamente excluidos de dicha Directiva (que en ese sentido opera como norma de armonizaci贸n m铆nima).聽 Sin embargo el real decreto-ley si se aplica a los 鈥operadores cr铆ticos鈥 que se designan conforme a la ley聽 8/2011
  • El real decreto-ley se aplicar谩, as铆 mismo, a los proveedores de determinados servicios digitales: los que sean mercados en l铆nea, motores de b煤squeda en l铆nea y servicios de computaci贸n en nube.聽La Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, los somete a un r茅gimen de armonizaci贸n m谩xima. La funci贸n de las autoridades nacionales se limita, por tanto, a supervisar su aplicaci贸n por los proveedores establecidos en su pa铆s, y coordinarse con las autoridades correspondientes de otros pa铆ses de la Uni贸n Europea.

 

Los operadores de servicios esenciales y los proveedores de servicios digitales deber谩n adoptar medidas adecuadas para gestionar los riesgos que se planteen para la seguridad de las redes y sistemas de informaci贸n que utilicen, aunque su gesti贸n est茅 externalizada.
NYC_by Jara IPM. One Trade Center Tower
  • Las obligaciones de seguridad que asuman deber谩n ser proporcionadas al nivel de riesgo聽 y estar basadas en una evaluaci贸n previa .
  • Las normas de desarrollo de este real decreto-ley podr谩n concretar las obligaciones de seguridad exigibles a los operadores de servicios esenciales, incluyendo en su caso las inspecciones a realizar o la participaci贸n en actividades y ejercicios de gesti贸n de crisis.
  • El real decreto-ley requiere as铆 mismo que los operadores de servicios esenciales y los proveedores de servicios digitales notifiquen los incidentes que sufran en las redes y servicios de informaci贸n que emplean para la prestaci贸n de los servicios esenciales y digitales, y tengan efectos perturbadores significativos en los mismos, al tiempo que prev茅 la notificaci贸n de los sucesos o incidencias que puedan afectar a los servicios esenciales, pero que a煤n no hayan tenido un efecto adverso real sobre aquellos, y perfila los procedimientos de notificaci贸n. La notificaci贸n de incidentes forma parte de la cultura de gesti贸n de riesgos que la Directiva y el real decreto-ley fomentan. Por ello, el real decreto-ley protege a la entidad notificante y al personal que informe sobre incidentes ocurridos; se reserva la informaci贸n confidencial de su divulgaci贸n al p煤blico o a otras autoridades distintas de la notificada y se permite la notificaci贸n de incidentes cuando no sea obligada su comunicaci贸n.
  • El real decreto-ley recalca la necesidad de tener en cuenta los est谩ndares europeos e internacionales, as铆 como las recomendaciones que emanen del grupo de cooperaci贸n y de la red de CSIRT (Computer Security Incident Response Team) establecidos en el 谩mbito comunitario por la Directiva, con vistas a aplicar las mejores pr谩cticas aprendidas en estos foros y contribuir al impulso del mercado interior y a la participaci贸n de nuestras empresas en 茅l. Con el fin de aumentar su eficacia, este real decreto-ley trata de garantizar su coherencia con las que se derivan de la aplicaci贸n de otras normativas en materia de seguridad de la informaci贸n, tanto de car谩cter horizontal como sectorial, y la coordinaci贸n en su aplicaci贸n con las autoridades responsables en cada caso.

Respecto a las normas horizontales, destacan los v铆nculos establecidos con las Leyes 8/2011, de 28 de abril, por la que se establecen medidas para la protecci贸n de las infraestructuras cr铆ticas, y 36/2015, de 28 de septiembre, de Seguridad Nacional, y con el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el 谩mbito de la Administraci贸n electr贸nica, como normativa especial en materia de seguridad de los sistemas de informaci贸n del sector p煤blico.

** Redactado con el apoyo del Proyecto de Investigaci贸n 芦Libertad de Mercado y sobreendeudamiento de consumidores: estrategias jur铆dico-econ贸micas para garantizar una segunda oportunidad禄 (N煤m. Ref. DER2016-80568-R). Ministerio de Econom铆a y Competitividad (Espa帽a) del que la autora forma parte como investigadora.

Publicado por

Elena F P茅rez Carrillo

Doctora en Derecho. Profesora de Derecho Mercantil Universidad de Le贸n