\n\tEl pasado viernes 7 de Septiembre de 2018 el Consejo de Ministros aprobó el Real Decreto-Ley 12\/2018 para la transposición de la Directiva europea
\n\tsobre ciberseguridad, conocida como Directiva NIS. En concreto, transpone al ordenamiento jurídico español la Directiva (UE) 2016\/1148 del Parlamento Europeo y del Consejo, de 6 de Julio de 2016, relativa a las medidas destinadas a garantizar
\n\tun elevado nivel común de seguridad de las redes y sistemas de información en la Unión Europea.<\/p>\n
Analicemos más detenidamente este Real Decreto-Ley que lo que pretende es mejorar la eficiencia en la lucha contra los delitos que involucran a las redes y sistemas de información para reducir sus efectos en la seguridad pública y
\n\ten la seguridad nacional:<\/p>\n
Título I – Disposiciones Generales<\/strong><\/p>\n El objeto de este Real Decreto-Ley es regular la seguridad de las redes y sistemas de información utilizados para la provisión de los servicios esenciales y de los servicios digitales y establecer un sistema de notificación de incidentes. Estos operadores se verán afectados por la nueva normativa, tanto si están establecidos en territorio español como si están fuera de España, mediante un representante nacional; y tanto los operadores de servicios esenciales No obstante, es importante destacar que este Real Decreto-Ley no se aplicará en los siguientes sectores: 1) a los operadores de redes y servicios de comunicaciones electrónicas y los prestadores de servicios electrónicos de confianza Título II – Servicios esenciales y servicios digitales<\/strong><\/p>\n En este título II se especifica que la identificación de los servicios esenciales y de los operadores que los presten se efectuará por los órganos y procedimientos previstos por la Ley 8\/2011 y su normativa de desarrollo lo Un operador de servicios esenciales lo será si un incidente sufrido por el operador puede llegar a tener efectos perturbadores significativos en la prestación del servicio, determinándose esos efectos según la importancia del Si se trata de un operador crítico designado en cumplimiento de la Ley 8\/2011, bastará con que se constate su dependencia de las redes y sistemas de información para la provisión del servicio esencial de que se trate.<\/p>\n Título III – Marco estratégico e institucional<\/strong><\/p>\n El título III recoge el marco estratégico e institucional de la seguridad de las redes y sistemas de información que se ha descrito anteriormente. Se dedica un precepto específico a la cooperación entre autoridades públicas, Se prevé la utilización de una plataforma común para la notificación de incidentes de seguridad. Esta plataforma común tiene como objetivo que los operadores no deban efectuar varias notificaciones en función Título IV – Obligaciones de seguridad<\/strong><\/p>\n El título IV se ocupa de las obligaciones de seguridad de los operadores. De este modo, regula que los operadores de servicios esenciales y los proveedores de servicios digitales deberán adoptar medidas adecuadas para gestionar los riesgos Las obligaciones de seguridad que asuman deberán ser proporcionadas al nivel de riesgo que afronten y estar basadas en una evaluación previa de los mismos (Risk Assessment). Obliga igualmente a designar un Responsable de Seguridad de la Además, los proveedores de servicios digitales determinarán las medidas de seguridad que aplicarán, teniendo en cuenta, como mínimo, los avances técnicos y los siguientes aspectos: a) La seguridad de los sistemas e instalaciones; Título V – Notificación de incidentes<\/strong><\/p>\n En el título V, el más extenso, se regula la notificación de incidentes y se presta atención a los incidentes con impacto transfronterizo y a la información y coordinación con otros Estados de la Unión La notificación de incidentes forma parte de la cultura de gestión de riesgos que la Directiva transpuesta y el Real Decreto-Ley fomentan. Por ello, esta legislación protege a la entidad notificante y al personal que informe sobre A título de ejemplo, son incidentes de seguridad sujetos a notificación los ataques que pretendan la parada o inutilización de servicios tecnológicos, el acceso a información privilegiada, o la manipulación fraudulenta Título VI – Supervisión<\/strong><\/p>\n En el título VI se disponen las potestades de inspección y control de las autoridades competentes y la cooperación con las autoridades nacionales de otros Estados miembros.<\/p>\n Título VII – Régimen sancionador<\/strong><\/p>\n Este título tipifica las infracciones y sanciones del Real Decreto-Ley. En este aspecto, éste se decanta por impulsar la subsanación de la infracción antes que su castigo, el cual, si es necesario dispensarlo, será efectivo, El Departamento de <\/strong> de Belzuz Abogados cuenta con profesionales cualificados para prestar
\n\t¿Qué sectores deben garantizar esa protección de redes y de los sistemas de información?: 1) Servicios esenciales dependientes de las redes y sistemas de información comprendidos en los sectores estratégicos
\n\tdefinidos en el anexo de la Ley 8\/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas y 2) Servicios digitales que sean mercados en línea, motores de búsqueda en línea
\n\ty servicios de cloud computing.<\/p>\n
\n\tcomo los de servicios digitales deberán adoptar las medidas pertinentes a nivel organizativo y técnico para prevenir situaciones de inseguridad en las redes y en los sistemas de información, ofrecer soluciones a los problemas de
\n\tseguridad, e informar de los incidentes de ciberseguridad como veremos a continuación.<\/p>\n
\n\tque no estén designados como operadores críticos por la Ley 8\/2011 y 2) a los proveedores de servicios digitales clasificados como microempresas o pequeñas empresas, según las definiciones previstas en la Recomendación
\n\t2003\/361\/CE de la Comisión, de 6 de mayo de 2003, sobre la definición de microempresas, pequeñas y medianas empresas.<\/p>\n
\n\tque nos lleva a analizar qué se considera infraestructura crítica y servicio esencial según la misma. En este sentido, dicha Ley define como infraestructuras críticas aquellas cuyo funcionamiento es indispensable y no permite
\n\tsoluciones alternativas, por lo que su perturbación o destrucción tendría un grave impacto sobre los servicios esenciales. Éstos, a su vez, se definen como los servicios necesarios para el mantenimiento de las funciones sociales
\n\tbásicas, la salud, la seguridad, el bienestar social y económico de los ciudadanos, o el eficaz funcionamiento de las Instituciones del Estado y las Administraciones Públicas. Esta definición es la misma que la del Real Decreto-Ley
\n\t12\/2018, salvo que al final en este último se añade: “(…) que dependa para su provisión de redes y sistemas de información.”<\/p>\n
\n\tservicio prestado y según los clientes de la entidad evaluada.<\/p>\n
\n\tcomo pilar de un ejercicio adecuado de las diferentes competencias concurrentes sobre la materia.<\/p>\n
\n\tde la autoridad a la que deban dirigirse. Dicha plataforma, podrá ser empleada también para la notificación de vulneraciones de la seguridad de datos personales, según el Reglamento (UE) 2016\/679 del Parlamento Europeo y del
\n\tConsejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales, y a la libre circulación de estos datos, en lo que supone una aproximación al concepto
\n\tde one-stop shop introducido por esta última regulación.<\/p>\n
\n\tque se planteen para la seguridad de las redes y sistemas de información que utilicen, aunque su gestión esté externalizada.<\/p>\n
\n\tInformación como punto de contacto y de coordinación técnica con la autoridad competente a la que se deberá comunicar igualmente ese nombramiento.<\/p>\n
\n\tb) La gestión de incidentes; c) La gestión de la continuidad de las actividades; d) La supervisión, auditorías y pruebas y e) El cumplimiento de las normas internacionales.<\/p>\n
\n\tEuropea para su gestión. El Real Decreto-Ley requiere que los operadores de servicios esenciales y los proveedores de servicios digitales notifiquen los incidentes que sufran en las redes y servicios de información que emplean para la prestación
\n\tde los servicios esenciales y digitales y tengan efectos perturbadores significativos en los mismos, al tiempo que prevé la notificación de los sucesos o incidencias que puedan afectar a los servicios esenciales pero que aún no hayan
\n\ttenido un efecto adverso real sobre aquellos y perfila los procedimientos de notificación.<\/p>\n
\n\tincidentes ocurridos introduciendo cierta génesis de garantía legal para el whistleblower. Asimismo, preserva la información confidencial de su divulgación al público o a otras autoridades distintas de la notificada
\n\ty permite la notificación de incidentes cuando no sea obligada su comunicación.<\/p>\n
\n\tde los sistemas y las redes.<\/p>\n
\n\tproporcionado y disuasorio, en línea con lo ordenado por la Directiva (UE) 2016\/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016. Se establecen sanciones administrativas para el caso de incumplimiento del deber de reportar las
\n\tvulnerabilidades detectadas, entre otros incumplimientos, con multas por valor de hasta un millón de euros.<\/p>\n
\n\tla asesoría jurídica necesaria respecto al asesoramiento y defensa de las empresas que puedan estar expuestas a riesgos cibernéticos, pudiendo asistirlas en toda clase de procedimientos de consultoría, judiciales y\/o sancionadores.<\/p>\n<\/p><\/p>\n","protected":false},"featured_media":431,"template":"","categories":[],"area-de-practica":[],"publicaciones":[],"idioma-publicacion":[70],"class_list":["post-2921","publicacion","type-publicacion","status-publish","has-post-thumbnail","hentry","idioma-publicacion-espanol"],"acf":[],"_links":{"self":[{"href":"https:\/\/belzuz.com\/en\/wp-json\/wp\/v2\/publicacion\/2921","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/belzuz.com\/en\/wp-json\/wp\/v2\/publicacion"}],"about":[{"href":"https:\/\/belzuz.com\/en\/wp-json\/wp\/v2\/types\/publicacion"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/belzuz.com\/en\/wp-json\/wp\/v2\/media\/431"}],"wp:attachment":[{"href":"https:\/\/belzuz.com\/en\/wp-json\/wp\/v2\/media?parent=2921"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/belzuz.com\/en\/wp-json\/wp\/v2\/categories?post=2921"},{"taxonomy":"area-de-practica","embeddable":true,"href":"https:\/\/belzuz.com\/en\/wp-json\/wp\/v2\/area-de-practica?post=2921"},{"taxonomy":"publicaciones","embeddable":true,"href":"https:\/\/belzuz.com\/en\/wp-json\/wp\/v2\/publicaciones?post=2921"},{"taxonomy":"idioma-publicacion","embeddable":true,"href":"https:\/\/belzuz.com\/en\/wp-json\/wp\/v2\/idioma-publicacion?post=2921"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}