El pasado sábado 8 de septiembre se publicó en el BOE el Real Decreto-ley de seguridad de las redes y sistemas de información, por el que se transpone al ordenamiento jurídico español la Directiva (UE) 2016/1148, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión, conocida como "Directiva NIS".
Dicho decreto-ley impone ciertas obligaciones a los operadores de servicios esenciales y prestadores de servicios digitales definidos en la ley. Entre otras obligaciones, los operadores de servicios esenciales y prestadores de servicios digitales deberán otificar a la autoridad competente los incidentes que puedan tener efectos perturbadores significativos en los servicios que presten en los términos señalados en el decreto-ley. Además, estos operadores deberán adoptar aquellas medidas técnicas y de organización, adecuadas y proporcionadas, para gestionar los riesgos que se planteen para la seguridad de las redes y sistemas de información utilizados en la prestación de los servicios así como aquellas medidas adecuadas para prevenir y reducir al mínimo el impacto de los incidentes que les afecten. El desarrollo reglamentario del mencionado decreto-ley proveerá las medidas específicas para el cumplimento de dichas obligaciones.
Siguiendo las obligaciones impuestas por la Unión Europea en la citada Directiva NIS, la Comisión Nacional para la Protección de las Infraestructuras Críticas dependiente de la Secretaria de Estado de Seguridad del Ministerio de Interior, aprobará una primera lista de servicios esenciales e identificará a los operadores que deban sujetarse al real decreto-ley en las siguientes fechas:
Además de a los operadores que presten servicios esenciales, el citado decreto-ley será de aplicación a aquellos prestadores de servicios digitales que tengan su sede social en España y/o que constituyan su establecimiento principal en la Unión Europea, así como aquellos que designen en España a su representante en la Unión para el cumplimiento de la Directiva NIS. El decreto-ley establece que a los efectos de este decreto-ley serán considerados servicios digitales aquellos servicios de la sociedad de la información (definidos en la Ley de Servicios de la sociedad de la información y de comercio electrónico) designados como mercados en línea, motores de búsqueda en línea y/o servicios de computación en nube.
Los operadores de redes y servicios de comunicaciones electrónicas y los prestadores de servicios electrónicos de confianza que no sean designados como operadores críticos en virtud de la Ley 8/2011, de 28 de abril, así como los proveedores de servicios digitales cuando se trate de microempresas o pequeñas empresas, de acuerdo con las definiciones recogidas en la Recomendación 2003/361/CE de la Comisión, de 6 de mayo de 2003, sobre la definición de microempresas, pequeñas y medianas empresas no estarán sujetos al mencionado decreto- ley
Las multas en caso de infracción de las obligaciones impuestas en esta nueva regulación de ciberseguridad podrían ascender hasta 1.000.000 de euros en caso de infracciones muy graves y amonestación o multas de hasta 100.000 euros en caso de infracciones leves.
La nueva normativa se puede consultar en el sigiente enlace: