La trasposici\u00f3n en Espa\u00f1a de la \u201cDirectiva NIS\u201d se public\u00f3 el 8 de septiembre mediante el Real Decreto\u2013Ley 12\/2018<\/b>, que es que es como se conoce habitualmente al que transpone la Directiva (UE) 2016\/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel com\u00fan de seguridad de las redes y sistemas de informaci\u00f3n en la Uni\u00f3n. El Gobierno dispone de un m\u00e1ximo de 30 d\u00edas h\u00e1biles para su convalidaci\u00f3n en el Congreso de los Diputados, desde el d\u00eda de su publicaci\u00f3n en el BOE.<\/p>\n
El citado Real decreto-ley tiene por objeto regular y reforzar la seguridad de las redes y sistemas de informaci\u00f3n utilizados para la provisi\u00f3n de los servicios esenciales y de los servicios digitales<\/b>, y establecer un sistema de notificaci\u00f3n de incidentes. <\/p>\n
Su \u00e1mbito de aplicaci\u00f3n, haciendo alusi\u00f3n al contenido del citado RDL, se refiere a: \u201cLos servicios esenciales dependientes de las redes y sistemas de informaci\u00f3n comprendidos en los sectores estrat\u00e9gicos definidos en el anexo de la Ley 8\/2011,<\/b> de 28 de abril (conocida como la Ley PIC), por la que se establecen medidas para la protecci\u00f3n de las infraestructuras cr\u00edticas\u201d as\u00ed como \u201cPrestadores de servicios digitales<\/b>, que sean mercados en l\u00ednea, buscadores y prestadores de servicios de cloud\u201d. <\/p>\n
Por tanto, adem\u00e1s de los sectores y operadores ya afectados por la citada LPIC, como Administraci\u00f3n, Espacio, Industria qu\u00edmica, Agua, Energ\u00eda, Salud, Tecnolog\u00edas de la Informaci\u00f3n y las Comunicaciones (TIC), Transporte, Alimentaci\u00f3n y Sistema financiero y tributario, el \u00e1mbito de aplicaci\u00f3n en el mencionado RDL se extiende a otros sectores que no se encontraban expresamente en la Directiva como son los Prestadores de servicios digitales. <\/p>\n
A tal efecto y seg\u00fan la Ley 34\/2002, de 11 de julio, se entiende por servicio digital el servicio de la sociedad de la informaci\u00f3n prestado habitualmente a t\u00edtulo oneroso, a distancia, por v\u00eda electr\u00f3nica y a petici\u00f3n del interesado. Asimismo, dicho concepto tambi\u00e9n comprende los servicios no remunerados por sus destinatarios siempre que conlleve una actividad econ\u00f3mica para el prestador de servicios. Son considerados como tales la contrataci\u00f3n de bienes o servicios por v\u00eda electr\u00f3nica, la organizaci\u00f3n y gesti\u00f3n de subastas por medios electr\u00f3nicos y centros comerciales virtuales, la gesti\u00f3n de compras en la red por grupos de personas, el env\u00edo de comunicaciones comerciales, as\u00ed como el suministro de informaci\u00f3n por v\u00eda telem\u00e1tica. <\/p>\n
Ahora bien, esta normativa no aplicar\u00eda y, por tanto, quedar\u00edan excluidos del alcance de esta aquellos proveedores de servicios digitales que empleen menos de 50 trabajadores y cuyo volumen de negocios anual o balance general anual no supere los 10 millones de euros. Por tanto, aplicar\u00eda este RDL a los proveedores de servicios digitales siempre y cuando no tengan la consideraci\u00f3n de microempresas, peque\u00f1as y medianas empresas. <\/p>\n
En cuanto a las medidas de seguridad a aplicar, como hilo conductor de las mismas se <\/b>infiere la necesidad de confeccionar un An\u00e1lisis de Riesgos y, en consecuencia, con sus resultados, se adoptar\u00e1n e implementar\u00e1n las medidas de seguridad medidas t\u00e9cnicas y de organizaci\u00f3n oportunas<\/b> para gestionar los mismos y reducir el posible impacto de los incidentes que pudieran afectarle. <\/p>\n
En esta l\u00ednea, y puesto que la presente norma est\u00e1 pendiente de desarrollo reglamentario que establezca las medidas necesarias y delimite su contenido<\/b>, tanto para los operadores esenciales como para los proveedores de servicios digitales podemos resumir que a la hora de determinar las medidas de seguridad que tendr\u00e1n que ser aplicadas a \u00e9stos \u00faltimos, la normativa obliga a la observancia y la necesidad de dar cobertura a estos aspectos m\u00ednimos:<\/b> <\/p>\n En lo referido a los operadores de servicios esenciales al elaborarse las disposiciones reglamentarias, instrucciones y gu\u00edas, se tendr\u00e1n en cuenta las obligaciones sectoriales, las directrices relevantes que se adopten en el grupo de cooperaci\u00f3n (establecido por el art\u00edculo 11 de la citada Directiva (UE) 2016\/1148) y los requisitos en materia de seguridad de la informaci\u00f3n, a las que estuviera sometido el operador en virtud de otras normas, como la Ley 8\/2011, de 28 de abril, y el Esquema Nacional de Seguridad, aprobado por el Real Decreto 3\/2010, de 8 de enero. <\/p>\n Cabe destacar que gesti\u00f3n de incidentes de seguridad y su coordinaci\u00f3n es un apartado clave de este RDL en el que tanto el CCN-CERT, el INCIBE-CERT y el ESPDEF-CERT (CERT del Ministerio de Defensa)<\/b> tienen papeles relevantes por su papel como equipos de respuesta a incidentes de seguridad inform\u00e1tica (CSIRT) de referencia en materia de seguridad de las redes y sistemas de informaci\u00f3n. De igual modo para su notificaci\u00f3n se prev\u00e9 la utilizaci\u00f3n de una plataforma com\u00fan que tambi\u00e9n podr\u00e1 ser empleada tambi\u00e9n para la notificaci\u00f3n de vulneraciones de la seguridad de datos personales seg\u00fan el RGPD.<\/b> <\/p>\n Ahora bien, este real decreto-ley ofrece la posibilidad de que una normativa nacional o comunitaria puede establecer obligaciones de seguridad de las redes y sistema de informaci\u00f3n o notificaci\u00f3n de incidentes en un sector cuyos efectos sean similares a los recogidos en la presente norma. De tal manera que, en ese caso, prevalecer\u00e1n los procedimientos de supervisi\u00f3n y notificaci\u00f3n recogidos en tales normativas, como sucede por ejemplo con el Reglamento (UE) N.\u00ba 910\/2014 sobre Identificaci\u00f3n Electr\u00f3nica y Servicios de Confianza (eIDAS), por ejemplo. <\/p>\n Respecto a las labores de notificaci\u00f3n a la autoridad competente, los prestadores de servicios esenciales nombrar\u00e1n y comunicar\u00e1n cu\u00e1l ser\u00e1 la persona, unidad u \u00f3rgano colegiado responsable de la seguridad de la informaci\u00f3n el cual actuar\u00e1 como nexo de contacto y coordinaci\u00f3n con aquella. <\/p>\n Un punto muy para tener en cuenta es el de la supervisi\u00f3n<\/b>. Respecto a los operadores de servicios esenciales <\/b>la autoridad competente podr\u00e1 requerirles informaci\u00f3n, as\u00ed como auditar o exigir al operador que se someta a una auditor\u00eda de seguridad<\/b> por parte de una entidad externa, solvente e independiente. Respecto a los proveedores de <\/b>servicios digitales<\/b>, la autoridad competente actuar\u00e1 de oficio previo mediante requerimientos y examen de la informaci\u00f3n<\/b> que considere necesaria, cuando tenga constancia de alg\u00fan incumplimiento, denuncia u ocurrencia de posibles incidentes<\/b> que perturben a servicios digitales ofrecidos. Cabe destacar que se contempla estrecha colaboraci\u00f3n con las autoridades competentes de otros Estados miembros. <\/p>\n En cuanto a las autoridades competentes en este \u00e1mbito, seguir\u00e1 siendo para los operadores de servicios esenciales seguir\u00e1 siendo la Secretar\u00eda de Estado de Seguridad, del Ministerio del Interior, a trav\u00e9s del Centro Nacional de Protecci\u00f3n de Infraestructuras y Ciberseguridad (CNPIC), mientras que en el caso de que no sean operadores cr\u00edticos, corresponder\u00e1 a la autoridad sectorial correspondiente por raz\u00f3n de la materia, seg\u00fan se determine reglamentariamente (Para los proveedores de servicios digitales: la Secretar\u00eda de Estado para el Avance Digital, del Ministerio de Econom\u00eda y Empresa, para los operadores de servicios esenciales y proveedores de servicios digitales que no siendo operadores cr\u00edticos se encuentren comprendidos en el \u00e1mbito de aplicaci\u00f3n de la Ley 40\/2015, de 1 de octubre, de R\u00e9gimen Jur\u00eddico del Sector P\u00fablico corresponder\u00e1 al Ministerio de Defensa, a trav\u00e9s del Centro Criptol\u00f3gico Nacional). No obstante, el Consejo de Seguridad Nacional, a trav\u00e9s de su comit\u00e9 especializado en materia de ciberseguridad, establecer\u00e1 los mecanismos necesarios para la coordinaci\u00f3n de las actuaciones de las autoridades competentes. <\/p>\n Por \u00faltimo, en lo que se refiere al r\u00e9gimen sancionador no es nada desde\u00f1able<\/b>, ya que puede haber sanciones que conlleven desde una amonestaci\u00f3n o multa de 100.000 euros<\/b> por la comisi\u00f3n de una infracci\u00f3n leve<\/b> hasta la una cuant\u00eda de 1.000.000 euros<\/b> por la comisi\u00f3n de una infracci\u00f3n grave<\/b>. <\/p>\n Estaremos a la espera de los avances reglamentarios para identificar las medidas de seguridad concretas a aplicar. <\/p>\n Jos\u00e9 Miguel Cardona, Socio de Consultor\u00eda – Seguridad de la Informaci\u00f3n de Auren<\/b> <\/p>\n CISA, CISM, CISSP, CRISC, ISO 27001\/ISO 20000 LA<\/b> <\/p>\n \n <\/p>\n","protected":false},"excerpt":{"rendered":" La trasposici\u00f3n en Espa\u00f1a de la \u201cDirectiva NIS\u201d se public\u00f3 el 8 de septiembre mediante el Real Decreto\u2013Ley 12\/2018, que es que es como se conoce habitualmente al que transpone la Directiva (UE) 2016\/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel com\u00fan de seguridad de las redes y sistemas de informaci\u00f3n en la Uni\u00f3n. El Gobierno dispone de un m\u00e1ximo de 30 d\u00edas h\u00e1biles para su convalidaci\u00f3n en el Congreso de los Diputados, desde el d\u00eda de su publicaci\u00f3n en el BOE.<\/p>\n","protected":false},"featured_media":7438,"template":"","meta":{"_acf_changed":false,"footnotes":""},"blog-category":[],"class_list":["post-7437","blog","type-blog","status-publish","has-post-thumbnail","hentry"],"acf":[],"yoast_head":"\n\n