REDSEGURIDAD 083

18 red seguridad cuarto trimestre 2018 pic monográfico opinión conocimiento sea necesario para evitar nuevos incidentes o gestionar uno que ya se haya producido, o cuando la divulgación de un incidente redunde en interés público. A su vez, dichas auto- ridades competentes también podrá decidir informar de modo directo al público o a terceros sobre el incidente. En estos casos la autoridad compe- tente consultará y se coordinará con el operador de servicios esenciales o el proveedor de servicios digitales antes de informar al público. Incidentes que afecten a datos de carácter personal: Las autoridades competentes y los CSIRT de referencia cooperarán estre- chamente con la Agencia Española de Protección de Datos (AEPD) para hacer frente a los incidentes que den lugar a violaciones de datos personales (artículo 29). Las autoridades competentes y los CSIRT de referencia comunicarán sin dilación a la AEPD los incidentes que puedan suponer una vulneración de datos personales y la mantendrán informada sobre la evolución de tales incidentes. Régimen sancionador: Como viene dispuesto por la propia Directiva NIS de referencia, una de las principales novedades, y de mayor repercusión, del anteproyecto, es la creación (Título VII, artículo 35 y ss.) de un régimen sancionador que prevé la existencia de infracciones muy graves, graves y leves por el incumplimiento de alguna de las obligaciones recogidas para los operadores de servicios esen- ciales y los proveedores de servicios digitales. Las sanciones previstas son de tipo pecuniario, previéndose una graduación de las cuantías, así como un sistema de moderación de las san- ciones. La Secretaría de Estado de Seguridad será el órgano competente para sancionar aquellas infracciones cometidas por los operadores de ser- vicios esenciales que sean, además, operadores críticos conforme a la Ley 8/2011 PIC. Esto supone que el mayor peso administrativo en la aplicación de la futura ley será asumido por este proceso consultivo informal para trasla- dar las inquietudes de aquellos al seno del grupo de trabajo de redacción del futuro reglamento. Notificación de incidentes: Una de las principales obligaciones que impone el RDL (artículo 19 y ss.) es la comunicación de incidentes a las autoridades competentes. En el caso de los operadores de servicios esenciales, notificarán a la autoridad competente, a través del CSIRT de referencia, los incidentes que puedan tener efectos perturbadores significati- vos en dichos servicios. Para los ope- radores de servicios esenciales que sean, además, operadores críticos conforme a la Ley PIC, la notificación se hará a la Secretaría de Estado de Seguridad, concretamente al CNPIC, a través del CCN-CERT (los perte- necientes al sector público, grosso modo ) y del INCIBE-CERT (aquellos del sector privado). Un aspecto destacable en lo relati- vo a la notificación de incidentes, es que cuando los incidentes notificados presenten caracteres de delito, las autoridades competentes y los CSIRT de referencia darán cuenta de ello, a través de la Oficina de Coordinación Cibernética del Ministerio del Interior, al Ministerio Fiscal a los efectos opor- tunos, trasladándole al tiempo cuanta información posean en relación con ello. Esto supone también un avance de primer orden a la hora de agilizar los procedimientos necesarios para reportar a los órganos de investi- gación policial y al Ministerio Fiscal aquellos eventos que por su condición de posible delito deban seguir este conducto. Por otra parte, los operadores de uno y otro tipo estarán obligados (artí- culo 29) a resolver los incidentes, y a informar y a colaborar con la autoridad competente y el CSIRT de referencia. Información al público: Las autoridades competentes podrán exigir a los operadores de servicios esenciales o los proveedores de ser- vicios digitales que informen al público o a terceros potencialmente interesa- dos sobre los incidentes cuando su departamento ministerial, a través del CNPIC. Relación inicial de servicios esen- ciales y operadores de servicios esenciales: En la Disposición Final Primera del RDL se recoge que corresponde a la Comisión Nacional para la Protección de las Infraestructuras Críticas, órgano previsto en la Ley 8/2011 PIC, la apro- bación de una primera lista de servi- cios esenciales dentro de los sectores incluidos en el ámbito de aplicación. Deberá además identificar a los ope- radores que los presten antes del 9 de noviembre de 2018 en relación con los servicios esenciales prestados por los sectores estratégicos de la Energía, el Transporte, la Salud, el Sistema finan- ciero, el Agua, y las TIC. Antes del 9 de noviembre de 2019 deberá hacer lo propio en relación con los servicios esenciales y los operadores corres- pondientes al resto de los sectores estratégicos recogidos en el anexo de la Ley 8/2011 PIC. Esta nueva función asignada a la Comisión Nacional para la Protección de las Infraestructuras Críticas fue ejer- citada por primera vez el pasado 30 de octubre, cuando la Comisión designó los 142 primeros operadores esen- ciales, conforme a lo determinado por el RDL. Cabe reseñar que todos ellos son, a su vez, operadores críticos. Valoración final – La valoración que puede hacerse de una norma tan compleja como la que ha sido brevemente analizada no puede ser más que muy positiva, al provocar una oportunidad para que tanto la Administración como los sec- tores de producción trabajen mano a mano en la ciberseguridad de nuestro país y nuestros intereses. Esta norma ayudará a impulsar el desarrollo del mercado interior a través de la mejora del nivel de seguridad en las redes y sistemas de información que susten- tan la prestación de servicios en los sectores de mayor importancia para el desarrollo de actividades económicas y sociales. – Pero, sobre todo, parece evidente que la promulgación de esta norma