Valoración
  • Actualmente 0 de 5 Estrellas.
Tu valoración
  • Actualmente 0 de 5 Estrellas.
  • 1
  • 2
  • 3
  • 4
  • 5
NOTICIA

El Minetad abre audiencia pública para el Anteproyecto de Ley sobre la Seguridad de las Redes y Sistemas de Información

05/12/2017 - Enrique González Herrero
El Ministerio de Energía, Turismo y Agenda Digital ha sacado a audiencia pública (hasta el 8 de enero de 2018) el Anteproyecto de Ley Sobre la Seguridad de Redes y Sistemas de Información, qué traspondrá al ordenamiento jurídico español la conocida como Directiva NIS (Directiva 2016/1148, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información de la Unión).

La norma tiene por objeto “regular la seguridad de las redes y sistemas de información utilizados para la provisión de los servicios esenciales y de los servicios digitales y establecer un sistema de notificación de incidentes”.

Según indica el anteproyecto, esta ley se aplicará a los servicios esenciales dependientes de las redes y sistemas de la información enmarcados en alguno de los 12 sectores definidos en la Ley sobre Protección de las Infraestructuras Críticas. Asimismo, estarán sujetos a ella los servicios digitales que sean mercados en línea, motores de búsqueda y servicios de computación en la nube. Es decir, operadores de servicios esenciales y proveedores de servicios digitales tendrán pues que adoptar medidas técnicas y de organización “adecuadas y proporcionadas para gestionar los riesgos que se planteen para la seguridad de las redes y sistemas de información utilizados en la prestación de los servicios sujetos a esta ley”. Dichas medidas se especificarán a través del desarrollo reglamentario de la norma.

Para atender el mandato de la Directiva NIS, según el anteproyecto, el Consejo de Seguridad Nacional, a través del Departamento de Seguridad Nacional, ejercerá de punto de contacto único para atender las funciones de enlace que permitan la cooperación entre Estados miembros de la Unión Europea, así como con el Grupo de Cooperación y la red comunitaria de CSIRT (equipos de respuesta ante emergencias informáticas).

Notificación de incidentes

Uno de los aspectos que ha despertado mayor interés por los sectores afectados por la norma es la comunicación de percances de ciberseguridad. El anteproyecto recoge el deber de notificar “a la autoridad competente, a través del CSIRT de referencia, los incidentes que puedan tener efectos significativos en dichos servicios”.

Dichas “autoridades competentes” varían según diferentes categorías. El anteproyecto establece que, en el caso de los operadores estratégicos designados como críticos, deberán reportar al Centro Nacional de Protección de Infraestructuras y Ciberseguridad (dependiente de la Secretaría de Estado de seguridad), mientras que el resto de ellos lo harán “a través de la autoridad sectorial correspondiente, según se determine reglamentariamente”. Por su parte, los proveedores de servicios digitales tendrán como referencia a la Secretaría de Estado para la Sociedad de la Información y la Agenda Digital. Finalmente, los operadores de servicios esenciales y proveedores de servicios digitales de carácter público establecerán estas comunicaciones a través del Centro Criptológico Nacional (dependiente del Ministerio de Presidencia).

El anteproyecto, que contiene 42 artículos divididos en siete títulos, aborda otros muchos aspectos como las funciones de las autoridades competentes, los requisitos y funciones de los CSIRT de referencia, la cooperación con otras autoridades, la confidencialidad de la información sensible, la autorización para la cesión de datos personales o la supervisión de los operadores de servicios esenciales y proveedores digitales.

También establece un régimen de sanciones, clasificadas en infracciones muy graves, graves y leves. Las primeras supondrían multas de entre 500.001 y un millón de euros, las graves de entre 100.001 y 500.000 euros y las leves conllevarían amonestaciones o multas hasta los 100.000 euros. Además, las infracciones muy graves o graves “podrán ser publicadas, a costa del sancionado, en el Boletín Oficial del Estado y en el sitio de internet de la autoridad competente”.

Las observaciones a este anteproyecto de ley podrán presentarse hasta el 8 de enero de 2018 y deberán cursarse a través del correo electrónico sgssi@minetad.es.

Volver

Newsletter

¿Quieres estar informado? Ya puedes suscribirte GRATIS a nuestra newsletter mensual