Publicado el Real Decreto-ley para regular la seguridad de las redes y sistemas de información

El Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información, publicado en el BOE del pasado 8 de septiembre de 2018, tiene por objeto regular la seguridad de las redes y sistemas de información utilizados para la provisión de los servicios esenciales y de los servicios digitales, y establecer un sistema de notificación de incidentes, para lo que se transpone al ordenamiento jurídico español la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016 -conocida como «Directiva europea sobre ciberseguridad» o «Directiva NIS»-.

Siguiendo la Directiva traspuesta, el real decreto-ley identifica los sectores en los que es necesario garantizar la protección de las redes y sistemas de información, y establece procedimientos para identificar los servicios esenciales ofrecidos en dichos sectores, así como los principales operadores que prestan dichos servicios, que son, en definitiva, los destinatarios del nuevo real decreto-ley.

Se pretende aumentar la confianza de usuarios y prestadores de servicios en la utilización de tecnologías de la información mejorando el nivel de seguridad en las redes y sistemas de información que sustentan la prestación de los servicios esenciales y servicios digitales.

• Servicios esenciales y de operadores que los presten 

Dentro del artículo donde se desarrollan las definiciones de los términos que se usan a lo largo del texto, se definen los servicios esenciales como el «servicio necesario para el mantenimiento de las funciones sociales básicas, la salud, la seguridad, el bienestar social y económico de los ciudadanos, o el eficaz funcionamiento de las Instituciones del Estado y las Administraciones Públicas, que dependa para su provisión de redes y sistemas de información».

Igualmente la norma define al operador de servicios esenciales como la «entidad pública o privada que se identifique considerando los factores establecidos en el artículo 6 de este real decreto-ley, que preste dichos servicios en alguno de los sectores estratégicos definidos en el anexo de la Ley 8/2011, de 28 de abril».

Los operadores de servicios esenciales y los proveedores de servicios digitales deberán adoptar medidas adecuadas para gestionar los riesgos que se planteen para la seguridad de las redes y sistemas de información que utilicen, aunque su gestión esté externalizada. Las obligaciones de seguridad que asuman deberán ser proporcionadas al nivel de riesgo que afronten y estar basadas en una evaluación previa de los mismos. Las normas de desarrollo de este real decreto-ley podrán concretar las obligaciones de seguridad exigibles a los operadores de servicios esenciales, incluyendo en su caso las inspecciones a realizar o la participación en actividades y ejercicios de gestión de crisis.

• Sectores en los que es necesario garantizar la protección de las redes y sistemas de información

El Real Decreto-ley identifica los sectores en los que es necesario garantizar la protección de las redes y sistemas de información (siguiendo el anexo de la L-8778103), y establece procedimientos para identificar a los servicios esenciales ofrecidos en dichos sectores, así como los principales operadores que prestan dichos servicios.

• Notificación de incidentes y Transparencia

El real decreto-ley protege a la entidad notificante y al personal que informe sobre incidentes ocurridos; se reserva la información confidencial de su divulgación al público o a otras autoridades distintas de la notificada y se permite la notificación de incidentes cuando no sea obligada su comunicación.

Se prevé la utilización de una plataforma común para la notificación de incidentes, de tal manera que los operadores no deban efectuar varias notificaciones en función de la autoridad a la que deban dirigirse. Esta plataforma podrá ser empleada también para la notificación de vulneraciones de la seguridad de datos personales según el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE.

• Obligaciones de seguridad exigibles a los operadores de servicios esenciales

Los operadores de servicios esenciales y los proveedores de servicios digitales deberán adoptar medidas adecuadas para gestionar los riesgos que se planteen para la seguridad de las redes y sistemas de información que utilicen, aunque su gestión esté externalizada. Las obligaciones de seguridad que asuman deberán ser proporcionadas al nivel de riesgo que afronten y estar basadas en una evaluación previa de los mismos. Las normas de desarrollo de este real decreto-ley podrán concretar las obligaciones de seguridad exigibles a los operadores de servicios esenciales, incluyendo en su caso las inspecciones a realizar o la participación en actividades y ejercicios de gestión de crisis.

El desarrollo reglamentario del real decreto-ley preverá las medidas necesarias para el cumplimiento de las obligaciones de seguridad.

• Fecha de entrada en vigor

La norma entrará en vigor al  día siguiente al de su publicación en el «Boletín Oficial del Estado» (09/09/2018).

- L-26021251