La reciente entrada en vigor de la Directiva NIS -transpuesta al ordenamiento jurídico español mediante el Real Decreto-Ley 12/2018, de 7 de septiembre- dibuja un nuevo esquema en la seguridad de las redes y sistemas de información.
Bajo amenaza de notables sanciones (importes de hasta 1 millón de euros), las entidades obligadas al cumplimiento del Real Decreto Ley 12/2018 -operadores de sectores esenciales y proveedores de servicios digitales- deberán adaptar su organización para gestionar adecuadamente los incidentes de seguridad de las redes y sistemas de información, estableciendo mecanismos de respuesta, protocolos y políticas de ciberseguridad y nombrando responsables de seguridad de la información (interlocutores con los organismos públicos correspondientes).
El Real Decreto-Ley 12/2018 extiende el ámbito de aplicación a sectores no expresamente incluidos en la Directiva NIS y se espera un desarrollo reglamentario que concrete las disposiciones del Real Decreto-Ley (por ejemplo, desarrollando las medidas de seguridad).
Las entidades obligadas necesitarán apoyo jurídico-técnico para acreditar que (i) conocen y cumplen las disposiciones de la normativa NIS y las obligaciones de la normativa sectorial; (ii) que, en caso de incidente de seguridad, se relacionan en plazo y forma con las autoridades sectoriales competentes y con los equipos de respuesta de incidentes de referencia; y (iii) que gestionan diligente y profesionalmente los incidentes detectados.
Adolfo Soria - Socio de Legal , Barcelona
