Última revisión
Publicado el Real Decreto-ley para regular la seguridad de las redes y sistemas de información
El
Siguiendo la Directiva traspuesta, el real decreto-ley identifica los sectores en los que es necesario garantizar la protección de las redes y sistemas de información, y establece procedimientos para identificar los servicios esenciales ofrecidos en dichos sectores, así como los principales operadores que prestan dichos servicios, que son, en definitiva, los destinatarios del nuevo real decreto-ley.
Se pretende aumentar la confianza de usuarios y prestadores de servicios en la utilización de tecnologías de la información mejorando el nivel de seguridad en las redes y sistemas de información que sustentan la prestación de los servicios esenciales y servicios digitales.
- Servicios esenciales y de operadores que los presten
Dentro del artículo donde se desarrollan las definiciones de los términos que se usan a lo largo del texto, se definen los servicios esenciales como el «servicio necesario para el mantenimiento de las funciones sociales básicas, la salud, la seguridad, el bienestar social y económico de los ciudadanos, o el eficaz funcionamiento de las Instituciones del Estado y las Administraciones Públicas, que dependa para su provisión de redes y sistemas de información».
Igualmente la norma define al operador de servicios esenciales como la «entidad pública o privada que se identifique considerando los factores establecidos en el artículo 6 de este real decreto-ley, que preste dichos servicios en alguno de los sectores estratégicos definidos en el anexo de la Ley 8/2011, de 28 de abril».
Los operadores de servicios esenciales y los proveedores de servicios digitales deberán adoptar medidas adecuadas para gestionar los riesgos que se planteen para la seguridad de las redes y sistemas de información que utilicen, aunque su gestión esté externalizada. Las obligaciones de seguridad que asuman deberán ser proporcionadas al nivel de riesgo que afronten y estar basadas en una evaluación previa de los mismos. Las normas de desarrollo de este real decreto-ley podrán concretar las obligaciones de seguridad exigibles a los operadores de servicios esenciales, incluyendo en su caso las inspecciones a realizar o la participación en actividades y ejercicios de gestión de crisis.
- Sectores en los que es necesario garantizar la protección de las redes y sistemas de información
El Real Decreto-ley identifica los sectores en los que es necesario garantizar la protección de las redes y sistemas de información (siguiendo el anexo de la L-8778103), y establece procedimientos para identificar a los servicios esenciales ofrecidos en dichos sectores, así como los principales operadores que prestan dichos servicios.
- Notificación de incidentes y Transparencia
El real decreto-ley protege a la entidad notificante y al personal que informe sobre incidentes ocurridos; se reserva la información confidencial de su divulgación al público o a otras autoridades distintas de la notificada y se permite la notificación de incidentes cuando no sea obligada su comunicación.
Se prevé la utilización de una plataforma común para la notificación de incidentes, de tal manera que los operadores no deban efectuar varias notificaciones en función de la autoridad a la que deban dirigirse. Esta plataforma podrá ser empleada también para la notificación de vulneraciones de la seguridad de datos personales según el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE.
- Obligaciones de seguridad exigibles a los operadores de servicios esenciales
Los operadores de servicios esenciales y los proveedores de servicios digitales deberán adoptar medidas adecuadas para gestionar los riesgos que se planteen para la seguridad de las redes y sistemas de información que utilicen, aunque su gestión esté externalizada. Las obligaciones de seguridad que asuman deberán ser proporcionadas al nivel de riesgo que afronten y estar basadas en una evaluación previa de los mismos. Las normas de desarrollo de este
El desarrollo reglamentario del real decreto-ley preverá las medidas necesarias para el cumplimiento de las obligaciones de seguridad.
- Fecha de entrada en vigor
La norma entrará en vigor al día siguiente al de su publicación en el «Boletín Oficial del Estado» (09/09/2018).
- L-26021251