Nuevas medidas normativas para mejorar la seguridad de las redes y sistemas de información

Post jurídico

Claire Murphy y Bartolomé Martín 

El Gobierno aprobó el pasado 7 de septiembre, mediante Real Decreto-ley, un conjunto de normas de amplio espectro (dirigidas a los operadores de servicios esenciales e infraestructuras críticas, pero también a cualesquiera prestadores de servicios de la sociedad de la información, denominados proveedores de servicios digitales) para la mejora de la seguridad en las redes y de los sistemas de información de la Unión. Entre otras obligaciones, la ley impone a dichos operadores/ prestadores, las de comunicación de actividad y de incidentes de seguridad.

El pasado 8 de septiembre se publicó en el BOE el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información. La norma transpone al ordenamiento jurídico español la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión.

El objeto de este RDL es regular la seguridad de las redes y sistemas de información utilizados para la prestación de servicios esenciales y de servicios digitales, estableciendo los criterios para identificar los principales operadores que los prestan, así como un sistema de notificación de los incidentes que puedan afectarles. Por otro lado, regula el marco institucional de cooperación entre las autoridades españolas y los órganos de cooperación en la materia, de ámbito comunitario.

Los sujetos obligados por este RDL son, por un lado, los operadores de servicios esenciales (servicios necesarios para el mantenimiento de las funciones sociales básicas, en el marco de alguno de los sectores estratégicos definidos en el anexo de la Ley 8/2011 por la que se establecen medidas para la protección de las infraestructuras críticas) y, por otro, los proveedores de servicios digitales, según se definen en la Ley 34/2002 de Servicios de la Sociedad de la Información y Comercio Electrónico.

Se exceptúan de la aplicación de esta norma los proveedores de servicios digitales constituidos como microempresas o pequeñas empresas. Tienen esa condición los operadores o prestadores que empleen a menos de 50 trabajadores y cuyo volumen de negocio anual o balance general no supere los 10 millones de euros. Tampoco se ven afectados por el RDL los operadores de red y servicios de comunicaciones electrónicas y los prestadores de servicios electrónicos de confianza siempre que no sean designados como operadores críticos, en virtud de la Ley 8/2011, de 28 de abril.

Dentro de las obligaciones básicas que se imponen en el RDL a los sujetos obligados, destaca la de adoptar medidas de seguridad adecuadas para gestionar los riesgos a los que se pueden enfrentar las redes y sistemas de información utilizados para la prestación de servicios, así como para reducir al mínimo el impacto de los incidentes que puedan surgir. En el caso de los operadores de servicios esenciales se establece la obligación de comunicar a la autoridad competente correspondiente (en el caso de operadores críticos, por ejemplo, la Secretaría de Estado de Seguridad del Ministerio del Interior, a través del Centro Nacional de Protección de Infraestructuras y Ciberseguridad (CNPIC)) un responsable de seguridad de la información, como punto de contacto entre ambas.

Resulta relevante lo dispuesto en el artículo 7 del RDL, que impone una obligación de comunicación de actividad a los proveedores de servicios digitales, en un plazo de 3 meses desde que se produzca el inicio de su actividad. La autoridad competente es la Secretaría de Estado para el Avance Digital, del Ministerio de Economía y Empresa.

En lo relativo a las obligaciones de notificación de incidentes de seguridad, los operadores esenciales únicamente deberán notificar a la autoridad competente a través de un CSIRT (Equipo de Respuesta a Incidentes, por sus siglas en inglés) los incidentes que puedan tener efectos perturbadores significativos en los servicios. Respecto a los proveedores de servicios digitales, únicamente tendrán la obligación de notificar en el caso en que tengan acceso a la información necesaria para valorar el impacto del incidente. También es posible en determinados casos, que la autoridad competente exija a los operadores o proveedores que comuniquen al público o a terceros los incidentes ocurridos.

Se incorpora, asimismo, un procedimiento sancionador con sanciones que pueden ir desde los 100.000 hasta 1.000.000 de euros, dependiendo de la gravedad de la infracción.

Finalmente, se articula un sistema de encaje con las obligaciones en materia de seguridad y comunicación que pudieran afectar a estos sujetos en función de la normativa sectorial que les pudiera resultar de aplicación, de forma que, incluso en relación con la aplicación del régimen sancionador regulado en el RDL, prevalezca lo dispuesto en la normativa sectorial.

En distinta situación queda el anclaje del RDL con normas de carácter general como el Reglamento General de Protección de Datos, que regula e incorpora en su régimen sancionador infracciones derivadas de brechas de seguridad en los sistemas con los que se realicen tratamientos de datos personales. Si bien las obligaciones de comunicación de actividad y de incidentes de seguridad tienen como destinatarios autoridades supervisoras diferentes, los bienes jurídicos protegidos pueden llegar a coincidir, por ejemplo, en materia de comunicación de incidentes/brechas de seguridad, en cuyo caso, la concurrencia de ambas normas podría suscitar problemas de aplicación, en la medida en que se podría llegar a sancionar una misma conducta dos veces. Si bien la aplicación del principio ne bis in idem no impide que se sigan dos procedimientos sancionadores (uno por cada infracción), será necesario acudir a mecanismos legales que permitan atemperar la sanción final al ciudadano (sujeto pasivo de ambas normas), descontando el importe de la correspondiente sanción o atenuando la misma, según proceda.

La presente publicación no constituye opinión profesional o asesoramiento jurídico de sus autores. 

Si desea recibir periódicamente las publicaciones de Referencias Jurídicas CMS, que analizan y comentan la actualidad legal y jurisprudencial de interés, puede suscribirse a través de este formulario.