El Consejo de Ministros en su reunión del día 7 de septiembre aprobó el Real Decreto – Ley 12/2018, de seguridad de las redes y sistemas de la información que transpone al ordenamiento jurídico español la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, más conocida como Directiva NIS.

Con este Real Decreto Ley se persigue mejorar el nivel de seguridad en las redes y sistemas de información mediante su regulación a través de mecanismos de protección frente a posibles amenazas, estableciendo un sistema de notificación de incidentes de ciberseguridad, así como la obligación de implementar ciertas medidas de seguridad.

Asimismo, se pretende mejorar la eficacia en la lucha contra delitos que puedan ser cometidos dentro del ámbito de la ciberseguridad.

Esta norma será aplicable a las entidades que presten servicios esenciales en la comunidad que dependan de las redes y sistemas de información para el desarrollo de su actividad; a los operadores críticos, en el caso de las actividades de explotación de las redes y de prestación de servicios de comunicaciones electrónicas y los recursos asociados, y de los servicios electrónicos de confianza, que se encuentran expresamente excluidos de la Directiva NIS; así como a los proveedores de determinados servicios digitales, tales como mercados en línea, motores de búsqueda en línea y servicios de computación en nube.

Se establece la necesidad de que los operadores de servicios esenciales o los proveedores de servicios digitales notifiquen ciertos incidentes de ciberseguridad a los equipos de respuesta a incidentes de seguridad, conocidos como “CSIRT”.

También recoge la norma la obligación de tener que informar al público o a los interesados sobre dichos incidentes si así lo exigiese la autoridad competente, en casos en los que el conocimiento del incidente en cuestión sea necesario para evitar la comisión de nuevos incidentes o para la gestión eficaz de los que se hayan producido, o incluso cuando su divulgación redunde en beneficio del interés público.

Queda claro que, ante la aparición de cualquier incidente en esta materia, serán los operadores de servicios esenciales y los proveedores de servicios digitales los responsables de resolverlo y de reponer las redes y sistemas de información que se hayan visto afectados a su funcionamiento ordinario.

Se menciona también en este Real Decreto – Ley, la obligatoriedad de adopción de medidas de seguridad por parte de los operadores de servicios esenciales y de los proveedores de servicios digitales para así evitar la posible aparición de un incidente. A este respecto, la norma establece que, antes de adoptar medida alguna, se debe realizar previamente una evaluación de los posibles riesgos generados por su actividad para que la adopción de las pertinentes medidas sean las adecuadas y sean proporcionadas a dichos riesgos, ayudando así a su gestión.

La concreción sobre qué medidas de seguridad serán de obligada implementación tendrá que ser desarrollada reglamentariamente.

Este Real Decreto – Ley supone un importante avance para la ciberseguridad en nuestro país, y facilita además la coordinación de actuaciones en esta materia tanto en el ámbito nacional como con terceros países y, en particular, dentro de la Unión Europea.

Habrá que estar atentos a la convalidación necesaria de este Real Decreto – Ley por el Congreso de los Diputados en el plazo de 30 días a contar desde la fecha en que se publicó en el BOE, que fue el pasado día 8 de septiembre de 2018.

En Letslaw somos una firma de abogados especializada en el asesoramiento jurídico en nuevas tecnologías, derecho digital y ciberseguridad. Si necesitas saber más sobre este tema, ponte en contacto con nosotros.