El pasado 8 de septiembre de 2018 fue publicado el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información, que transpone, fuera de plazo – recordemos que la fecha máxima para transponer la directiva era el 9 de mayo de 2018 – la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión, conocida también como “Directiva de seguridad” o “Directiva NIS”.
La Directiva NIS busca garantizar un elevado nivel de seguridad en las redes y en los sistemas de información en todos los Estados miembros mediante la publicación de unos requisitos mínimos comunes, sin perjuicio de la normativa sectorial aplicable a determinados sectores de la economía y de las acciones estatales para garantizar la protección de los intereses esenciales de su seguridad, preservar el orden público y la seguridad nacional, y permitir la investigación, detección y enjuiciamiento de infracciones penales.
Como ya indicábamos en esta entrada, entre las medidas impulsadas por la Directiva NIS, destacaban:
Con este Real Decreto-Ley, que extiende su ámbito de aplicación a otros sectores que no se encuentran expresamente incluidos en la Directiva, dirigiéndose a las entidades que prestan servicios esenciales y dependen de las redes y sistemas de información, así como a los proveedores de determinados servicios digitales, se regula la seguridad de las redes y sistemas de información utilizados para la provisión de los servicios esenciales y los servicios digitales.
Entre otros puntos, establece: (i) la identificación, con frecuencia bienal, de los servicios esenciales y operadores que los prestan; (ii) la obligación (a priori) de implementar medidas técnicas y de organización, adecuadas y proporcionadas, para gestionar los riesgos planteados en las redes y sistemas con carácter preventivo; así como (iii) un sistema (a posteriori) de notificación de incidentes significativos que ocurran en las redes y servicios de información empleados para la prestación de los servicios esenciales y digitales; y (iv) la creación de un marco estratégico de seguridad y el nombramiento de autoridades competentes para la coordinación entre autoridades y órganos de cooperación europeos.
El sistema de notificación de incidentes a la autoridad de competente se realiza a través del CSIRT de referencia y se refiere tanto a las redes y servicios propios como a los de proveedores externos. Además, protege a la entidad notificante y al personal que informe sobre los incidentes, permitiendo la notificación de incidentes aun cuando la comunicación no sea obligatoria (por no desencadenar un efecto adverso real). Este sistema se uniría a la obligación de notificación a la autoridad de control en materia de protección de datos de las violaciones de seguridad que puedan afectar a datos personales, ya contenida en el Reglamento General de Protección de Datos, creándose una plataforma común para la notificación de incidentes de conformidad con ambas normativas y unificar procesos.
Respondiendo al imperativo de la Directiva NIS de establecer nacionalmente las sanciones aplicables, este Real Decreto-ley impone sanciones que van desde la amonestación a multas de hasta 1.000.000 euros, en función de distintos factores como el grado de culpabilidad, la continuidad o persistencia, el número de usuarios afectados, la reincidencia, el volumen de facturación o las acciones realizadas para descubrir o paliar los efectos.
Se espera que, con la aprobación de este Real Decreto-ley, se impulse el desarrollo del mercado interior y se mejore la seguridad en las redes y sistemas de información, aumentando la confianza de los usuarios y prestadores de servicios, así como facilitándose la prestación de servicios con alcance transeuropeo al homogeneizar los requisitos mínimos de seguridad.
Adaya Esteban
