Aprobado el Real Decreto-ley 12/2018 de seguridad de las redes y sistemas de información
14 septiembre 2018
Las redes y sistemas de información desempeñan un papel crucial en la sociedad. Su fiabilidad y seguridad son esenciales para las actividades económicas y sociales, y en particular para el funcionamiento del mercado interior de la Unión Europea y de nuestro país, siendo fundamental reforzar la seguridad de estas redes y sistemas.
Así se recoge en la Directiva de la UE 2016/1148 (conocida como Directiva NIS) relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión.
El Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información publicado en el Boletín Oficial del Estado, el pasado 8 de septiembre, que transpone al ordenamiento jurídico español la mencionada Directiva, tiene por objeto regular la seguridad de las redes y sistemas de información utilizados para la provisión de los servicios esenciales y de los servicios digitales, y establecer un sistema de notificación de incidentes en nuestro país.
Su contenido trasciende a la propia Directiva y aborda determinados aspectos que permitirán reforzar la ciberseguridad a nivel nacional, extendiendo su aplicación a ámbitos que se consideran fundamental para ofrecer un enfoque global y cohesionado, adaptado a las particularidades de nuestro país.
El Real Decreto-ley aprobado determina la forma y criterios de identificación de los servicios esenciales y de los operadores que los presten, así como a los que se aplicará. Además recoge el marco estratégico e institucional de la seguridad de las redes y sistemas de información en España haciendo énfasis en la cooperación entre autoridades públicas. También se disponen las potestades de inspección y control de las autoridades competentes y la cooperación con las autoridades nacionales de otros Estados miembros, se tipifican una serie de infracciones y sanciones, y se establecen las obligaciones de seguridad de los operadores. Finalmente se regula la notificación de incidentes, con especial atención a los incidentes con impacto transfronterizo y a la información y coordinación con otros Estados de la Unión Europea para su gestión.
Cabe destacar, en este sentido, la creación de la Estrategia de Ciberseguridad Nacional para desarrollar el marco estratégico e institucional de la ciberseguridad recogido en el Real Decreto-ley, compuesto por los CSIRT de Referencia. Éstos son equipos de respuesta a incidentes que analizan los riesgos y que como puerta de entrada supervisan incidentes, difunden alertas y aportan soluciones para mitigar sus efectos. Las Autoridades Competentes supervisan el cumplimiento y reciben notificaciones de incidentes a través de los CSIRT.
Punto de contacto único
Según el Real Decreto-ley, el Consejo de Seguridad Nacional ejercerá, a través del Departamento de Seguridad Nacional, una función de enlace para garantizar la cooperación transfronteriza de las autoridades competentes designadas, con las autoridades competentes de otros Estados miembros de la Unión Europea, así como con el grupo de cooperación y la red de CSIRT.
En particular, cuando las autoridades competentes o los CSIRT de referencia tengan noticia de incidentes que pueden afectar a otros Estados miembros de la Unión Europea, informarán a través del punto de contacto único a los Estados miembros afectados.
Además, el punto de contacto único se encargará de remitir a la Comisión Europea un informe anual resumido sobre las notificaciones recibidas de las Autoridades Competentes.
El Real Decreto-ley supone un importante avance para la ciberseguridad en nuestro país y establece una serie de mecanismos que, con una perspectiva integral, permitan mejorar la protección frente a las amenazas que afectan a las redes y sistemas de información, facilitando la coordinación de las actuaciones realizadas en esta materia tanto a nivel nacional como con los países de nuestro entorno, en particular, dentro de la Unión Europea.
Más información: