Togas.biz

Dos operadores de servicios esenciales que fueron objeto de ciberataques realizaron recientemente la preceptiva notificación a la administración competente en esta materia, en el marco de la nueva normativa que transpone en España la Directiva de Seguridad de Redes y Sistemas de Información (conocida como Directiva NIS). Estas notificaciones, las primeras en España bajo el nuevo sistema regulatorio, fueron realizadas con el asesoramiento de Garrigues, que ha coordinado la vertiente jurídica de las investigaciones y los procesos de cumplimiento.

La Directiva NIS (Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión) regula las obligaciones de los operadores de infraestructuras críticas y servicios esenciales en Europa en el ámbito de la seguridad, con el fin de proteger estos servicios e infraestructuras dentro de la Unión. Esta directiva establece obligaciones de notificación a la administración cuando un operador afectado es objeto de un ciberataque.

En España, la Directiva NIS ha sido incorporada al ordenamiento estatal mediante Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información. Este real decreto-ley establece cuáles son las administraciones competentes en materia de coordinación de ciberincidentes y concreta las obligaciones de notificación y demás obligaciones que corresponden a un operador crítico afectado por uno de estos ataques.

Durante los procesos de notificación, al tratarse de los primeros en España, Garrigues ha coordinado los ciberincidentes conjuntamente con el CNPIC (Centro Nacional de Protección de Infraestructuras y Ciberseguridad), el CCN (Centro Criptológico Nacional), el INCIBE (Instituto Nacional para la Ciberseguridad) y Fuerzas y Cuerpos de Seguridad del Estado (Policía y Guardia Civil). El despacho también fue invitado a participar en una reunión plenaria del Consejo Nacional de Ciberseguridad con fines de organización.

Resulta esencial disponer de un buen asesoramiento en esta materia, ya que un solo ciberataque puede producir daños directos a las empresas, tanto de tipo económico como reputacional, pero, además, puede suponer un riesgo de sanciones por infracción tanto de la normativa NIS como de la normativa de privacidad y RGPD, pudiendo llegar a ser objeto de sanciones que, sobre el papel, podrían alcanzar los 20 millones de euros o el 4% del importe de facturación global anual del grupo afectado.