Real Decreto de seguridad de las redes y sistemas de información.


Con el objetivo de incorporar al derecho español la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión – conocida como “Directiva europea sobre ciberseguridad” o “Directiva NIS”-  el Gobierno Español ha aprobado como medida de urgencia el Real Decreto – Ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información.

FINALIDADES
Este nuevo Real Decreto – ley tiene como fin:
– Regular la seguridad de las redes y sistemas de información utilizados para la provisión de los servicios esenciales y de los servicios digitales
– Y establecer un sistema de notificación de incidentes de ciberseguridad 

AMBITO DE APLICACIÓN
En concreto, el Real Decreto-Ley se aplicará a las entidades, exceptuando a pequeñas empresas, que presten servicios esenciales dependientes de las redes y sistemas de información, y aquellas que presten servicios digitales. 

1. Operadores de servicios esenciales: son aquellos cuya actividad permite el desarrollo de un “servicio necesario para el mantenimiento de las funciones sociales básicas, la salud, la seguridad, el bienestar social y económico de los ciudadanos, o el eficaz funcionamiento de las Instituciones del Estado y las Administraciones Públicas, que dependa para su provisión de redes y sistemas de información”.
2. Proveedores de servicios digitales: Son aquellos que prestan un servicio digital, tales como: mercados en línea, motores de búsqueda en línea y servicios de computación en nube, entre otros.

DEFINICION DE REDES Y SISTEMAS DE INFORMACION
A los efectos de este Real Decreto – ley se entenderá por Redes y sistema de información cualquiera de los elementos siguientes:

1. Las redes de comunicaciones electrónicas, tal y como vienen definidas en el número 31 del anexo II de la Ley 9/2014, de 9 de mayo, General de Telecomunicaciones;

2. Todo dispositivo o grupo de dispositivos interconectados o relacionados entre sí, en el que uno o varios de ellos realicen, mediante un programa, el tratamiento automático de datos digitales; 

3. Los datos digitales almacenados, tratados, recuperados o transmitidos mediante los elementos contemplados en los números 1.º y 2.º anteriormente mencionados, incluidos los necesarios para el funcionamiento, utilización, protección y mantenimiento de dichos elementos.

GESTION DE RIESGOS 
Los operadores de servicios esenciales y los proveedores de servicios digitales deberán adoptar medidas técnicas y de organización, adecuadas y proporcionadas, para gestionar los riesgos que se planteen para la seguridad de las redes y sistemas de información utilizados en la prestación de los servicios prestados.
Así mismo, se establece en el presente Real Decreto – Ley que los prestadores de servicios esenciales o proveedores de servicios digitales tienen el deber de notificar los incidentes que “puedan ocasionar graves problemas cuando ya hayan ocurrido o, de manera preventiva, cuando puedan llegar a afectar a la prestación del servicio”.
Esta comunicación se realizará siempre que se tenga la información necesaria para valorar el impacto de la incidencia y estará justificada con base en su importancia, establecida por: el número de afectados, la extensión geográfica del problema, la duración y, sobre todo, el alcance económico y social que provoque. Además se deberá informar del problema en todas sus fases; es decir, se documentarán todas las partes del proceso, ampliando toda la información que fuera necesaria hasta llegar a la notificación final cuando ya se haya resuelto.
Eso sí, con el objetivo de aumentar la confianza de usuarios y prestadores de dichos servicios, dicho Real decreto–ley protege a la entidad notificante y al personal que informe sobre incidentes ocurridos, de manera tal que aquellos que informen sobre incidentes no podrán sufrir consecuencias adversas en su puesto de trabajo o con la empresa, salvo en los supuestos en que se acredite mala fe en su actuación.

PROCEDIMIENTO PARA NOTIFICACION DE INCIDENCIAS
El Real decreto–Ley prevé la utilización de una plataforma común para la notificación de incidentes, de tal manera que los operadores no deban efectuar varias notificaciones en función de la autoridad a la que deban dirigirse. Esta plataforma podrá ser empleada también para la notificación de vulneraciones de la seguridad de datos personales según el Reglamento (UE) 2016/679 (RGPD) relativo a la protección de datos personales. 

SANCIONES
El incumplimiento reiterado de la obligación de notificar incidentes con efectos perturbadores significativos en el servicio tendrá sanciones monetarias para la entidad.