El pasado 7 de septiembre de 2018, el Gobierno aprobó el Real Decreto-ley 12/2018, de seguridad de las redes y sistemas de información.

Esta norma incorpora al ordenamiento jurídico español la Directiva (UE) 2016/1148, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión.

Esta Directiva fijaba el 9 de mayo de 2018 como fecha tope para publicar las normas internas necesarias (lo cual explica que se haya optado por la figura del Real Decreto-ley, reservada para casos de urgente necesidad). No obstante, la norma establece la necesidad de un desarrollo reglamentario, por lo que las obligaciones derivadas de esta normativa no estarán completas hasta la aprobación del correspondiente reglamento.

 

¿Cuál es la finalidad de la norma?

El objeto principal de esta norma es regular la seguridad de redes y sistemas de información utilizados para la provisión de (i) servicios esenciales y (ii) servicios digitales, así como establecer un sistema de notificación de incidentes de seguridad.

 

¿Quiénes están sometidos a esta norma?

La norma afecta a 2 grupos de entidades:

  1. Operadores de “servicios esenciales” de los sectores protegidos por la normativa de infraestructuras críticas, cuando estos dependan de redes y sistemas de información y hayan sido previamente designados como “operadores críticos”:
    • Antes del 9 de noviembre de 2018: para los sectores de energía, transporte, salud, sistema financiero, agua, e infraestructuras digitales.
    • Antes del 9 de noviembre de 2019: para el resto de sectores (administración, espacial, químico, nuclear, investigación, alimentación).
  2. Proveedores de “servicios digitales”: comercio electrónico (incluso a través de plataformas de terceros), motores de búsqueda y servicios de computación en la nube (cuando tengan más de 50 empleados y facturen más de 10 millones de euros al año)

 

Principales obligaciones, infracciones y sanciones

La mejor forma de conocer las obligaciones que derivan de una norma administrativa es irse directamente al régimen sancionador de la misma. Trataremos de resumirlo y clarificarlo con la siguiente tabla:

 

Gravedad Infracciones Sanciones
LEVE  

·  Incumplir el reglamento (cuando se apruebe) o las instrucciones técnicas de seguridad de la Autoridad Competente, cuando no sea GRAVE.

·  No corregir las deficiencias detectadas tras un requerimiento.

·  No facilitar la información requerida por la Autoridad Competente.

·  No someterse a una auditoría de seguridad previa orden de la Autoridad Competente.

·  No notificar incidentes de seguridad en servicios digitales a los Equipos de respuesta, cuando dichos incidentes pudiesen haber tenido efectos significativos, pero no hayan llegado a producirse realmente.

·  No completar la información que debe reunir la notificación de incidentes (o justificación de la imposibilidad de obtenerla).

·  No seguir las indicaciones que reciba de los Equipos de Respuesta para resolver un incidente.

≤100.000€ /

Amonestación

GRAVE  

· Incumplir el reglamento (cuando se apruebe) o las instrucciones técnicas de seguridad de la Autoridad Competente, cuando se refieran a las precauciones mínimas que deben adoptarse.

·  No corregir las deficiencias detectadas tras un requerimiento por 3ª vez en 5 años.

·  No notificar incidentes de seguridad significativos y reales.

·  Falta de interés en la resolución de incidentes cuando provoque un daño mayor.

·  Proporcionar información falsa al público sobre los estándares o certificaciones de seguridad que tiene en vigor.

·  No someterse a una auditoría de seguridad de la propia Autoridad Competente.

≤500.000€
MUY GRAVE  

·  No corregir las deficiencias detectadas por la Autoridad Competente, cuando dichas deficiencias faciliten posteriormente un incidente significativo.

·  No notificar incidentes de seguridad significativos y reales por segunda vez.

·  No resolver los incidentes de seguridad significativos.

≤1.000.000€

 

Adicionalmente, los proveedores de “servicios digitales”, deben notificar su actividad a la Secretaría de Estado para el Avance Digital, del Ministerio de Economía y Empresa, a los meros efectos de su conocimiento antes del 9 de diciembre de 2018 o, en caso de nueva actividad, en un plazo de 3 meses desde el inicio de la misma. Por el momento no parece haber un canal concreto para esta notificación, pero la citada Secretaría parece disponer de un procedimiento para notificaciones en general:

https://sede.minetur.gob.es/es-ES/procedimientoselectronicos/Paginas/detalle-procedimientos.aspx?IdProcedimiento=120

 

¿Cuáles son las Autoridades Competentes y Equipos de Respuesta (CSIRT)?

Los artículos 9 y 11 de la norma establecen quiénes son las Autoridades Competentes y los Equipos de Respuesta para cada caso:

 

Sector Sujeto obligado Autoridad Competente CSIRT
Público  

Operadores NO críticos de “servicios esenciales”

Ministerio de Defensa, a través del Centro Criptológico Nacional CCN-CERT, del Centro Criptológico Nacional
Operadores críticos de “servicios esenciales” Secretaría de Estado de Seguridad, del Ministerio del Interior, a través del Centro Nacional de Protección de Infraestructuras y Ciberseguridad (CNPIC)
Prestadores de “servicios digitales” Secretaría de Estado para el Avance Digital, del Ministerio de Economía y Empresa
Privado  

 

Operadores críticos de “servicios esenciales”

 

 

Secretaría de Estado de Seguridad, del Ministerio del Interior, a través del Centro Nacional de Protección de Infraestructuras y Ciberseguridad (CNPIC)

INCIBE-CERT, del Instituto Nacional de Ciberseguridad de España
Operadores NO críticos de “servicios esenciales” La autoridad sectorial correspondiente por razón de la materia, según se determine reglamentariamente
Prestadores de “servicios digitales” Secretaría de Estado para el Avance Digital, del Ministerio de Economía y Empresa

 

 

Resulta extraño que la norma designe una Autoridad Competente para operadores de “servicios esenciales” no señalados como “críticos”, cuando el propio art. 2.3. de la norma exime a estas entidades del ámbito de aplicación de la norma. Es posible que en el futuro reglamento se establezca alguna particularidad en este sentido.

 

Conclusiones

A falta del desarrollo reglamentario de esta norma y de las medidas mínimas de seguridad que deberán implantar las entidades obligadas, su contenido general es bastante básico y muy orientado a la transparencia:

  1. Notificar incidentes de seguridad al CSIRT correspondiente.
  2. Hacer lo que pidan la Autoridad Competente y el CSIRT correspondiente.