Ley de seguridad de las redes y sistemas de información

El 8 de septiembre de 2018 se publicó en el Boletín Oficial del Estado el Real Decreto-ley 12/2018, de seguridad de las redes y sistemas de información, por el que se transpone la Directiva (UE) 2016/1148, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión (comúnmente conocida como “Directiva NIS”).

Una vez transcurrido el plazo dado a los Estados miembros (que finalizó el 9 de mayo de 2018) para incorporar a su ordenamiento jurídico la Directiva (UE) 2016/1148 (la “ Directiva NIS ”), el Consejo de Ministros aprobó el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información, que desarrolla y adapta la Directiva NIS a las necesidades y características del ordenamiento jurídico español en materia de ciberseguridad.

Este Real Decreto-ley (y su futuro desarrollo legal) completa otra regulación ya existente en nuestro ordenamiento jurídico, que aborda determinados aspectos específicos de esta materia (entre otras, la Ley 8/2011, de 28 de abril, de protección de las infraestructuras críticas o la Ley 36/2015, de 28 de septiembre, de Seguridad Nacional).

Vamos a analizar la Ley de Seguridad de las redes y sistemas de información que traspone la Directiva NIS.

Ámbito de aplicación

En su primer apartado, el Real Decreto-ley delimita el ámbito de aplicación de la normativa, que incluye, por un lado, la prestación de servicios esenciales que se apoyan en redes y sistemas de información incluidos en aquellos sectores estratégicos definidos por la Ley 8/2011, mencionada en el párrafo anterior.

Entre estos sectores se encuentran, entre otros, la industria alimentaria, la energética, la química y la nuclear, así como los servicios digitales que tienen la consideración de mercados en línea, motores de búsqueda en línea y servicios de computación en la nube.

Sujetos afectados y principales obligaciones involucradas

El citado decreto-ley impone a los operadores de servicios esenciales y a los proveedores de servicios digitales determinadas obligaciones definidas en el nuevo reglamento. Entre otras, los operadores de servicios esenciales y los proveedores de servicios digitales deberán notificar a la autoridad competente los incidentes que puedan tener un efecto disruptivo significativo en los servicios prestados de acuerdo con los términos establecidos en el decreto-ley.

Asimismo, dichos operadores/proveedores de servicios deberán adoptar las medidas organizativas y adecuadas para gestionar los riesgos que se planteen para la seguridad de las redes y sistemas de información que utilicen en sus operaciones, así como aquellas medidas que prevengan y minimicen el impacto de los incidentes que les afecten. El reglamento subsidiario del citado decreto-ley establecerá las medidas específicas para el cumplimiento de dichas obligaciones.

Siguiendo las obligaciones impuestas por la Unión Europea en la Directiva NIS, la Comisión Nacional para la Protección de Infraestructuras Críticas dependiente de la Secretaría de Estado de Seguridad del Ministerio del Interior aprobará un primer listado de servicios esenciales e identificará los operadores que deberán quedar sujetos al decreto-ley en las siguientes fechas:

  • Antes del 9 de noviembre de 2018: servicios esenciales y operadores correspondientes a los sectores estratégicos de energía, transporte, salud, sistema financiero, agua e infraestructuras digitales.
  • Antes del 9 de noviembre de 2019: servicios esenciales y operadores correspondientes al resto de sectores estratégicos incluidos en el anexo de la Ley 8/2011, de 28 de abril.

Además de a los operadores que presten servicios esenciales, el citado decreto-ley será de aplicación a aquellos prestadores de servicios digitales que tengan su domicilio social en España y/o que constituyan su establecimiento principal en la Unión Europea, así como a aquellos que designen en España a su representante en la Unión para el cumplimiento de la Directiva NIS.

El decreto-ley establece que a los efectos de esta norma, se considerarán servicios digitales aquellos servicios de la sociedad de la información (tal y como se definen en la Ley española de Servicios de la sociedad de la información y de comercio electrónico) designados como mercado en línea, motores de búsqueda en línea y/o servicios de computación en la nube.

No están sujetos al mencionado Real Decreto-ley los operadores de redes y servicios de comunicaciones electrónicas y los proveedores de servicios electrónicos de confianza que no estén designados como operadores críticos conforme a la Ley 8/2011, de 28 de abril, así como aquellos proveedores de servicios digitales considerados como micro y pequeñas empresas según la definición de la Recomendación 2003/361/CE de la Comisión.

Las multas en caso de incumplimiento de las obligaciones impuestas en esta nueva normativa de ciberseguridad podrían ascender hasta 1.000.000 euros en caso de infracciones muy graves y amonestación o multa de hasta 100.000 euros en caso de infracciones leves.

Criterios para la designación de operadores de servicios esenciales

Los operadores de servicios esenciales serán los definidos en la Ley 8/2011 , de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas ( « Ley 8/2011 »). La identificación de los operadores de servicios esenciales se realizará por la autoridad competente correspondiente establecida en la Ley 8/2011, y se actualizará, para cada sector, con carácter bienal. Los micro y pequeños proveedores de servicios digitales (según se definen de conformidad con la Recomendación 2003/361/CE de la Comisión) no están sujetos a la Ley 12/2018.

¿Quién es la autoridad competente?

La autoridad competente varía según el tipo de operador/proveedor.

La autoridad competente para los operadores de servicios esenciales es:

  • Operadores críticos (designados de acuerdo con la Ley 8/2011): Secretaría de Estado de Seguridad del Ministerio del Interior, a través del Centro Nacional de Protección de Infraestructuras y Ciberseguridad;
  • Operadores no críticos sujetos a la Ley 40/2015 , de 1 de octubre, de Régimen Jurídico del Sector Público (la “ Ley 40/2015 ”): Ministerio de Defensa, a través del Centro Criptológico Nacional; y (c) otros operadores no críticos: la autoridad sectorial de acuerdo con la reglamentación.

La autoridad competente en materia de prestadores de servicios digitales es:

  • Cuando estén sujetos a la Ley 40/2015: el Ministerio de Defensa, a través del Centro Criptológico Nacional;
  • Otros: la Secretaría de Estado de Desarrollo Digital del Ministerio de Economía y Empresa.

¿Quién es el punto de contacto único?

El Consejo de Seguridad Nacional, a través del Departamento de Seguridad Nacional, desempeñará esta función.

¿Quién es el CSIRT?

El CSIRT competente varía según el tipo de operador/proveedor.

Los CSIRT de los operadores de servicios esenciales son:

  • Cuando estén sujetos a la Ley 40/2015: CSIRT del Centro Criptológico Nacional (“ CCN-CERT ”);
  • Cuando no estén sujetos a la Ley 40/2015: CSIRT del Instituto Nacional de Ciberseguridad (“ INCIBE-CERT ”);
  • Si están relacionados con la defensa nacional: CSIRT del Ministerio de Defensa, que cooperarán con el CCN-CERT y el INCIBE-CERT).

Los CSIRT para proveedores de servicios digitales son:

  • Cuando estén sujetos a la Ley 40/2015: CCN-CERT;
  • Otros: INCIBE-CERT.

Notificación de incidentes

Dichas notificaciones, que deberán realizarse a través de los Equipos de Respuesta a Incidentes de Seguridad Informática (el “ CSIRT ”), deberán realizarse siempre que los incidentes “tengan efectos disruptivos significativos” sobre los servicios esenciales. Por ello, el Real Decreto-ley ofrece una serie de parámetros que ayudan a definir este concepto para determinar si un determinado evento podría incluirse o no dentro de dicha categoría.

Asimismo, define el término “servicios esenciales” como el servicio necesario para el mantenimiento de las funciones sociales básicas, la salud, la seguridad y el bienestar social de los ciudadanos, entre otros. Dichas notificaciones se realizarán siempre de forma anónima y el personal que informe sobre este tipo de incidentes no será objeto de represalias. En el caso de que el denunciante sea una entidad, no podrá ser objeto de mayor responsabilidad.

Por este motivo, el reglamento establece la utilización de una plataforma común para la comunicación de incidencias, de forma que los operadores no tengan que realizar varios informes en función de la autoridad a la que deban dirigirse, dado que, en la mayoría de los casos, las incidencias de este ámbito se producen de forma global, afectando a más de un territorio.

Ciertamente, y al igual que ocurre con las medidas técnicas y organizativas, mencionadas más adelante, el sistema comparte ciertas similitudes con la notificación a la autoridad competente en materia de protección de datos personales, prevista en el Reglamento General de Protección de Datos, en caso de producirse una violación de la seguridad de los datos personales.

Los CSIRT deben coordinarse entre sí (el reglamento designa tres CSIRT a efectos de notificación, según la clasificación del sujeto obligado a notificar), para responder a los incidentes, analizar los riesgos, supervisar los incidentes y difundir alertas, aportando soluciones para mitigar sus efectos.

¿Cuál es el plazo para notificar incidentes de seguridad?

Los incidentes deben notificarse al CSIRT sin demora indebida, pero no hay un plazo específico. Es importante destacar que los operadores de servicios esenciales deben notificar a las autoridades, a través del CSIRT correspondiente, aquellos incidentes que puedan tener un efecto disruptivo significativo en la prestación de dichos servicios (las autoridades pueden establecer obligaciones de notificación específicas adicionales).

Por otro lado, los proveedores de servicios digitales deben notificar a las autoridades aquellos incidentes que tengan un efecto disruptivo significativo en la prestación de sus servicios. Este requisito de notificación debe cumplirse además de los requisitos de notificación de infracciones, como se establece en el RGPD, en caso de que se vean comprometidos los datos personales.

Medidas técnicas y organizativas preventivas

Otro aspecto a destacar en el Real Decreto-ley es que los proveedores de servicios esenciales y de servicios digitales deberán adoptar, con carácter preventivo, medidas técnicas y organizativas adecuadas y proporcionadas para minimizar los riesgos en las redes y prevenir posibles incidentes.

A estos efectos, la norma prevé una serie de criterios orientativos en los que deberán basarse dichas medidas, hasta que el Real Decreto-ley se desarrolle plenamente y determine las medidas concretas a implementar.

Además, mediante el Real Decreto-Ley se crea la Estrategia Nacional de Ciberseguridad, que desarrolla el marco estratégico e institucional de la ciberseguridad y designa las autoridades competentes para la coordinación entre las autoridades nacionales y los organismos de cooperación europeos.

Así, se otorga al Consejo de Seguridad Nacional la facultad de servir, a través del Departamento de Seguridad Nacional, de enlace entre los distintos Estados miembros, tal y como exige la Directiva NIS, así como con la red CSIRT y el grupo de cooperación, que como ya se ha comentado, fue creado por la Directiva NIS, teniendo precisamente como objetivo el intercambio de información y buenas prácticas políticas.

Otro elemento a tener en cuenta de la normativa es el punto de contacto único, que se canalizará a través del Consejo de Seguridad Nacional y cuyo principal objetivo es servir de enlace para garantizar la cooperación transfronteriza entre las autoridades competentes en esta materia. Asimismo, será el encargado de remitir a la Comisión Europea un informe anual en el que se resuman las notificaciones recibidas por la autoridad competente.

¿Cuáles son las sanciones?

La Ley 12/2018 define qué tipo de infracciones se califican como muy graves, graves o leves, y prevé sanciones que van desde amonestaciones hasta multas de hasta 1.000.000 €, en función de la gravedad de la infracción.

En conclusión, es innegable que este Real Decreto-ley supone un gran avance en materia de ciberseguridad en nuestro país. Así, por ejemplo, en 2017, el Instituto Nacional de Ciberseguridad resolvió más de 123.000 incidentes de ciberseguridad a petición de ciudadanos y empresarios, lo que supone un incremento respecto a 2016 del 6,77%. Estas cifras ponen de manifiesto la creciente atención e importancia de las redes y sistemas de información, tanto en las organizaciones públicas y privadas como a nivel nacional y comunitario, lo que ha multiplicado enormemente el riesgo al que se ven expuestas en su actividad diaria, poniendo de manifiesto la necesidad de un sistema y abordaje común de estos retos.