REDSEGURIDAD 083

Real Decreto-Ley de seguridad de las redes y sistemas de información E l 6 de julio de 2016, el Parlamento Europeo aprobó la Directiva 2016/1148/UE, sobre seguridad de las redes y sistemas de información (más conocida, por su acrónimo en inglés, como Directiva NIS). Dicha norma prevé el establecimiento de medidas de seguridad de los sistemas de redes y de información de una serie de ope- radores de la Unión Europea, y fue transpuesta a la legislación nacional española a través del Real Decreto- Ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información. La norma se aprobó casi cuatro meses después de que venciera el plazo máximo fijado por Bruselas para la transposición de la Directiva a las legislaciones nacionales (el 9 de mayo de 2018, como fecha límite). La Directiva NIS, así como el Real Decreto-Ley 12/2018, tienen como objetivo "lograr un elevado nivel común de seguridad de las redes y sistemas de información dentro de la Unión, a fin de mejorar el funcionamiento del mercado interior", estando por tanto en consonancia con el concepto de seguridad integral (física y lógica) que la normativa nacional sobre protec- ción de infraestructuras críticas (PIC) aplica a los operadores de servicios esenciales. A su vez, el Real Decreto-Ley 12/2018 tiene como sujetos obligados a los operadores de servicios esencia- les y de los proveedores de servicios digitales, a los que se impone una serie de obligaciones, entre ellas la de implantar medidas de seguridad de sus activos y la de reportar cibe- rincidentes a las respectivas autorida- des nacionales que el anteproyecto identifica. La figura del operador de servicio esencial, así como las obliga- ciones que éste debe cumplir, es muy parecida al concepto de operador crítico emanado de la Ley 8/2011, sobre Protección de Infraestructuras Críticas. Para llevar a cabo el proceso de transposición de la citada Directiva al ordenamiento español, se determinó que el ministerio responsable de dicha transposición fuera el hoy Ministerio de Economía, a través de la Secretaría de Estado de Avance Digital, actuando como ministerios competentes los del Interior, Presidencia del Gobierno y Presidencia y para la Administraciones Territoriales. En este marco, en octu- bre de 2016 se creó un grupo de trabajo integrado por representantes de estos cuatro departamentos, de los cuales, por parte del Ministerio del Interior participó la Secretaría de Estado de Seguridad, a través del Centro Nacional para la Protección de las Infraestructuras y Ciberseguridad (CNPIC). Los trabajos realizados por este grupo de trabajo finalizaron en noviembre de 2017 con el desarro- llo de un primer borrador, que fue sometido posteriormente a la valo- ración del Consejo de Nacional de Ciberseguridad. A su vez, entre los días 2 al 21 de diciembre se reali- zó una consulta previa al trámite de audiencia públic a, que posteriormente se prolongó hasta el 8 de enero de 2018. Análisis del Real Decreto-Ley Del estudio de la memoria del análisis de impacto normativo y del contenido del Real Decreto-Ley 12/2018 (en adelante, RDL), de seguridad de las redes y sistemas de información, se establecen las siguientes considera- ciones: Objeto: El RDL tiene como objeto (artículo 1) regular la seguridad de las redes y sistemas de información utilizados para la provisión de los servicios esen- ciales y de los servicios digitales, y establecer un sistema de notificación de incidentes. 14 red seguridad cuarto trimestre 2018 opinión pic monográfico Fernando Sánchez Director del Centro Nacional de Protección de Infraestructuras y Ciberseguridad (CNPIC)