Reial Decret de seguretat de les xarxes i els sistemes d’informació.


Amb l’objectiu d’incorporar al dret espanyol la Directiva (UE) 2016/1148 del Parlament Europeu i del Consell, de 6 de juliol de 2016, relativa a les mesures destinades a garantir un elevat nivell comú de seguretat de les xarxes i sistemes d’informació en la Unió – coneguda com a “Directiva europea sobre ciberseguretat” “Directiva NIS”- el Govern Espanyol ha aprovat com a mesura d’urgència el Reial Decret – Llei 12/2018, de 7 de setembre, de seguretat de les xarxes i sistemes d’informació.

FINALITATS
Aquest nou Reial Decret – llei té com a finalitat:
– Regular la seguretat de les xarxes i sistemes d’informació utilitzats per a la provisió dels serveis essencials i dels serveis digitals
–  I establir un sistema de notificació d’incidents de ciberseguretat:

ÀMBIT D’APLICACIÓ
En concret, el Reial Decret-Llei s’aplicarà a les entitats, exceptuant a petites empreses, que prestin serveis essencials dependents de les xarxes i sistemes d’informació, i aquelles que prestin serveis digitals.

1. Operadors de serveis essencials: són aquells els quals segons l’activitat  permet el desenvolupament d’un “servei necessari per al manteniment de les funcions socials bàsiques, la salut, la seguretat, el benestar social i econòmic dels ciutadans, o l’eficaç funcionament de les Institucions de l’Estat i les Administracions Públiques, que depengui per a la seva provisió de xarxes i sistemes d’informació”.

2. Proveïdors de serveis digitals: Són aquells que presten un servei digital, tals com: mercats en línia, motors de recerca en línia i serveis de computació en núvol, entre d’ altres.

DEFINICIÓ DE XARXES I SISTEMES D’INFORMACIÓ
A l’efecte d’aquest Reial Decret – llei s’entendrà per Xarxes i sistemes d’informació qualsevol dels elements següents:

1. Les xarxes de comunicacions electròniques, tal com vénen definides en el número 31 de l’annex II de la Llei 9/2014, de 9 de maig, General de Telecomunicacions;

2. Tot dispositiu o grup de dispositius interconnectats o relacionats entre si, en el qual un o varis d’ells realitzin, mitjançant un programa, el tractament automàtic de dades digitals;

3. Les dades digitals emmagatzemades, tractats, recuperats o transmesos mitjançant els elements contemplats en els nombres 1r. i 2n. anteriorment esmentats, inclosos els necessaris per al funcionament, utilització, protecció i manteniment d’aquests elements.

GESTIÓ DE RISCOS
Els operadors de serveis essencials i els proveïdors de serveis digitals hauran d’adoptar mesures tècniques i d’organització, adequades i proporcionades, per gestionar els riscos que es plantegin per a la seguretat de les xarxes i sistemes d’informació utilitzats en la prestació dels serveis prestats.
Així mateix, s’estableix en el present Reial Decret – Llei que els prestadors de serveis essencials o proveïdors de serveis digitals tenen el deure notificar els incidents que “puguin ocasionar greus problemes quan ja hagin ocorregut o, de manera preventiva, quan puguin arribar a afectar a la prestació del servei”.
Aquesta comunicació es realitzarà sempre que es tingui la informació necessària per valorar l’impacte de la incidència i estarà justificada amb base en la seva importància, establerta per: el nombre d’afectats, l’extensió geogràfica del problema, la durada i, sobretot, l’abast econòmic i social que provoqui. A més s’haurà d’informar del problema en totes les seves fases; és a dir, es documentaran totes les parts del procés, ampliant tota la informació que sigui  necessària fins a arribar a la notificació final quan ja s’hagi resolt.
Això sí, amb l’objectiu d’augmentar la confiança d’usuaris i prestadors d’aquests serveis, aquest Reial Decret–llei protegeix a l’entitat notificant i al personal que informi sobre incidents ocorreguts, de manera tal que aquells que informin sobre incidents no podran sofrir conseqüències adverses en el seu lloc de treball o amb l’empresa, excepte en els supòsits en què s’acrediti mala fe en la seva actuació.

PROCEDIMENT PER  NOTIFICACIONS D’ INCIDÈNCIES
El Reial Decret–llei preveu la utilització d’una plataforma comuna per a la notificació d’incidents, de tal manera que els operadors no hagin d’efectuar diverses notificacions en funció de l’autoritat a la qual hagin de dirigir-se. Aquesta plataforma podrà ser emprada també per a la notificació de vulneracions de la seguretat de dades personals segons el Reglament (UE) 2016/679 (RGPD) relatiu a la protecció de dades personals.

SANCIONS
L’incompliment reiterat de l’obligació de notificar incidents amb efectes instigadors significatius en el servei tindrà sancions monetàries per a l’entitat.