Noticias JurídicasOrigen http://noticias.juridicas.com

Noticias de actualidad | Actualidad
12/09/2018 10:34:03 | Mercado Digital Único

El Gobierno transpone la Directiva sobre seguridad de las redes y sistemas de información mediante el Real Decreto-ley 12/2018

La Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión, conocida como Directiva NIS (por network and information systems) y también como Directiva SRI (por seguridad de las redes y de la información), se adoptó en el marco europeo del desarrollo e implementación de una estrategia de ciberseguridad necesaria para impulsar el Mercado Digital Único, y responde también a la preocupación de los ciudadanos europeos sobre la materia.

Como señaló Miguel Recio Gayo, “la Directiva NIS pone de manifiesto las diferencias sustanciales en los niveles de preparación de los Estados miembros, tal y como se destaca en el considerando 5 de la Directiva, que dan lugar a una fragmentación y que muestran un nivel insuficiente de protección, que es crítico para la Unión Europea al existir puntos débiles, así como ser causa de desigualdades para empresas y usuarios”.

Por ello “La Directiva también resalta la conveniencia de fomentar una cultura de ciberseguridad, tanto en el sector privado como en el sector público, que se centre en la adopción de medidas para gestionar los riesgos a los que quedan expuestas las redes y sistemas de información”.

En este contexto “la Comisión Europea optó por la aproximación regulatoria proponiendo en 2013 una Directiva cuyo principal objetivo era y es que todos los Estados miembros adoptasen medidas para garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión”.

Dado que la Directiva se publicó en el Diario Oficial de 19 de julio de 2016, España debió haberla transpuesto antes del pasado 9 de mayo de 2018. Sin embargo, los avatares políticos de la pasada legislatura hicieron que no se dispusiera de un texto de Anteproyecto hasta finales de noviembre de 2017, texto que fue objeto de análisis en el Diario La Ley por José Manuel Muñoz Vela.

Transcurrida la fecha prevista en la Directiva sin haberse procedido a la transposición, a mediados del pasado mes de julio, la Comisión requirió a España para que lo hiciera, de un procedimiento formal de infracción (el n.º 2018/168). Como consecuencia de esta situación, el Gobierno ha acudido a la vía del Real Decreto-ley, pues, como se indica en la exposición de motivos, su utilización en el presente caso, “queda justificada por la doctrina del Tribunal Constitucional, que, en su Sentencia 1/2012, de 13 de enero, ha avalado la concurrencia del presupuesto habilitante de la extraordinaria y urgente necesidad del artículo 86.1 de la Constitución, cuando concurra el retraso en la transposición de directivas”.

Estructura y contenido

Este Real Decreto-ley consta de 42 artículos, estructurados en siete títulos, más cuatro disposiciones adicionales y otras cuatro finales.

El Título I, disposiciones generales (arts. 1 a 5), regula su objeto y ámbito de aplicación, incluye las definiciones de los términos que se usan a lo largo del texto, las directrices y orientaciones comunitarias y la salvaguarda de funciones estatales esenciales, como la seguridad nacional y otras disposiciones generales.

Sobre este particular, la exposición de motivos de la norma señala que “El real decreto-ley se aplicará a las entidades que presten servicios esenciales para la comunidad y dependan de las redes y sistemas de información para el desarrollo de su actividad”.

En concreto, su ámbito de aplicación “se extiende a sectores que no están expresamente incluidos en la Directiva, para darle a este real decreto-ley un enfoque global, aunque se preserva su legislación específica. Adicionalmente, en el caso de las actividades de explotación de las redes y de prestación de servicios de comunicaciones electrónicas y los recursos asociados, así como de los servicios electrónicos de confianza, expresamente excluidos de dicha Directiva, el real decreto-ley se aplicará únicamente en lo que respecta a los operadores críticos”.

El real decreto-ley se aplicará, así mismo, a los proveedores de determinados servicios digitales a los que la Directiva 2016/1148 “somete a un régimen de armonización máxima, equivalente a un reglamento, pues se considera que su regulación a escala nacional no sería efectiva por tener un carácter intrínsecamente transnacional”.

En el Título II, Servicios esenciales y servicios digitales (arts. 6 y 7), se determina la forma y criterios de identificación de los servicios esenciales y de los operadores que los presten a los que se aplicará el real decreto-ley.

Siguiendo la citada Directiva, el real decreto-ley identifica los sectores en los que es necesario garantizar la protección de las redes y sistemas de información, y establece procedimientos para identificar los servicios esenciales ofrecidos en dichos sectores, así como los principales operadores que prestan dichos servicios, que son, en definitiva, los destinatarios de este real decreto-ley. El orden en que se procederá a su identificación por primera vez se establece en la disposición adicional primera del real decreto-ley.

El Título III, marco estratégico e institucional de la seguridad de las redes y sistemas de información (arts. 8 a 15), regula el arco estratégico de seguridad de las redes y sistemas de información; las autoridades competentes y sus funciones; los equipos de respuesta a incidentes de seguridad informática (CSIRT), sus requisitos de constitución y funciones; el punto de contacto único a través del Consejo de Seguridad Nacional. Además se dedica un precepto específico a la cooperación entre autoridades públicas, como pilar de un ejercicio adecuado de las diferentes competencias concurrentes sobre la materia.

El Título IV, obligaciones de seguridad (arts. 16 a 18) regula las obligaciones de seguridad de los operadores de servicios esenciales y de los proveedores de servicios digitales, y en él se prevé la aplicación preferente de normas sectoriales que impongan obligaciones equivalentes a las previstas en este real decreto-ley, sin perjuicio de la coordinación ejercida por el Consejo de Seguridad Nacional y del deber de cooperación con las autoridades competentes en virtud de este real decreto-ley.

 

El Título V, notificación de incidentes (arts. 19 a 31), regula la obligación de notificar “los incidentes que puedan tener efectos perturbadores significativos” en los servicios de los operadores de servicios esenciales: las notificaciones voluntarias; los factores para determinar la importancia de los efectos de un incidente; la notificación inicial, las intermedias y la notificación final; los plazos; la tramitación de incidentes con impacto transfronterizo; la obligación de resolver los incidentes, de cooperar en su resolución y de informar al público, así como la protección del denunciante.

En este sentido, la exposición de motivos puntualiza que “El real decreto-ley requiere así mismo que los operadores de servicios esenciales y los proveedores de servicios digitales notifiquen los incidentes que sufran en las redes y servicios de información que emplean para la prestación de los servicios esenciales y digitales, y tengan efectos perturbadores significativos en los mismos, al tiempo que prevé la notificación de los sucesos o incidencias que puedan afectar a los servicios esenciales, pero que aún no hayan tenido un efecto adverso real sobre aquellos, y perfila los procedimientos de notificación”.

En el Título VI, Supervisión (arts. 32 a 34) se disponen las potestades de inspección y control de las autoridades competentes, tanto sobre los operadores de servicios esenciales como de los proveedores de servicios digitales, así como la cooperación con las autoridades nacionales de otros Estados miembros.

Finalmente, en el Título VII, Régimen sancionador (arts. 36 a 42) se tipifican las infracciones y sanciones, en una regulación que apuesta por impulsar la subsanación de la infracción antes que su castigo, el cual, “si es necesario dispensarlo, será efectivo, proporcionado y disuasorio”, en línea con lo ordenado por la Directiva.

Las disposiciones adicionales regulan la Relación inicial de servicios esenciales y operadores de servicios esenciales; las Comunicaciones electrónicas y servicios de confianza; las Notificación de violaciones de seguridad de los datos personales a través de la plataforma común prevista en este real decreto-ley y los Proveedores de servicios digitales ya existentes.


Te recomendamos

Actividad en Facebook