1837 Shares 1088 Views

Aprobado el Real Decreto para trasponer la directiva europea de ciberseguridad

11 septiembre, 2018
1837 Compartido 1088 Visualizaciones

El texto señala al CCN-CERT, del Centro Criptológico Nacional, como el Equipo de Respuesta a Incidentes de Seguridad (CSIRT) de referencia para el sector público y como el coordinador nacional de la respuesta técnica en los supuestos de especial gravedad y que requieran un nivel de coordinación superior.

Este sábado, 8 de septiembre, el Boletín Oficial del Estado, BOE, publicó el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información, después de que fuera aprobado en el Consejo de Ministros del viernes anterior. De este modo, se incorpora al ordenamiento jurídico español la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, más conocida como Directiva NIS, que busca identificar los sectores en los que se debe garantizar la protección de las redes y sistemas de información y establecer las exigencias de notificación de ciberincidentes.

El objeto del Real Decreto es “regular la seguridad de las redes y sistemas de información utilizados para la provisión de los servicios esenciales y de los servicios digitales, y establecer un sistema de notificación de incidentes”, al tiempo que “establece un marco institucional para la coordinación entre autoridades competentes y con los órganos de cooperación relevantes en el ámbito comunitario”.

Todo ello, tal y como se recoge en el prólogo, “conscientes del carácter transversal e interconectado de las tecnologías de la información y de la comunicación (TIC)”, y de sus amenazas y riesgos, lo que limita la eficacia de las medidas que se emplean para contrarrestarlos cuando se toman de modo aislado.

Por tanto, prosigue el texto, “es oportuno establecer mecanismos que, con una perspectiva integral, permitan mejorar la protección frente a las amenazas que afectan a las redes y sistemas de información, facilitando la coordinación de las actuaciones realizadas en esta materia tanto a nivel nacional como con los países de nuestro entorno, en particular, dentro de la Unión Europea”.

CCN-CERT, coordinador nacional

El artículo 11 de este Real Decreto establece tres CSIRT de referencia, que se coordinarán entre sí y con el resto de equipos nacionales e internacionales en la respuesta a incidentes y gestión de riesgos. Así, para el sector público el CSIRT de referencia es el CCN-CERT, del Centro Criptológico Nacional. Además, tal y como señala el RD, “en los supuestos de especial gravedad que reglamentariamente se determinen y que requieran un nivel de coordinación superior al necesario en situaciones ordinarias, el CCN-CERT ejercerá la coordinación nacional de la respuesta técnica de los CSIRT”.

Los otros dos CSIRT son el INCIBE-CERT para la comunidad que no pertenezca al CCN-CERT, ciudadanos y entidades de derecho privado (operado conjuntamente por el INCIBE y el CNPIC en la gestión de los incidentes que afecten a los operadores críticos) y el ESPDEF-CERT, del Mando Conjunto de Ciberdefensa, que cooperará con los otros dos CSIRT en aquellas situaciones que éstos requieran en apoyo de los operadores de servicios esenciales y, necesariamente, en aquellos que tengan incidencia en la Defensa Nacional.

Autoridades competentes

El documento señala tres autoridades competentes en materia de seguridad (artículo 9):

  1. a) Para los operadores de servicios esenciales:
  • En el caso de que éstos sean, además, designados como operadores críticos conforme a la Ley 8/2011, de 28 de abril: la Secretaría de Estado de Seguridad, del Ministerio del Interior, a través del Centro Nacional de Protección de Infraestructuras y Ciberseguridad (CNPIC).
  • En el caso de que no sean operadores críticos: la autoridad sectorial correspondiente por razón de la materia, según se determine reglamentariamente.
  1. b) Para los proveedores de servicios digitales: la Secretaría de Estado para el Avance Digital, del Ministerio de Economía y Empresa.
  2. c) Para los operadores de servicios esenciales y proveedores de servicios digitales que no siendo operadores críticos se encuentren comprendidos en el ámbito de aplicación de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del sector Público: el Ministerio de Defensa, a través del Centro Criptológico Nacional.

Obligación de notificar incidentes

El Real Decreto contempla la obligación de los operadores de servicios esenciales y los proveedores de servicios digitales (artículo 19) de notificar a la autoridad competente, a través del CSIRT de referencia, los incidentes que puedan tener efectos perturbadores significativos en dichos servicios e incluye aquellas notificaciones de sucesos o incidencias que aún no hayan tenido un efecto adverso real (peligrosidad potencial).

El texto también señala que las autoridades competentes y los CSIRT de referencia utilizarán una plataforma común para facilitar y automatizar los procesos de notificación, comunicación e información sobre incidentes a modo de las funcionalidades que ya presenta la solución LUCIA del CCN-CERT. Además, se detalla que los empleados y el personal que notifique sobre dichos incidentes “no podrá sufrir consecuencias adversas en su puesto de trabajo o con la empresa, salvo en los supuestos en que se acredite mala fe en su actuación”.

Los operadores de servicios esenciales y los proveedores de servicios digitales tienen la obligación de resolver los incidentes de seguridad que les afecten, y de solicitar ayuda especializada, incluida la del CSIRT de referencia, cuando no puedan resolver por sí mismos los incidentes.

En este sentido, el RD incluye un régimen sancionador que puede ir desde multas de 100.000 euros para las infracciones leves hasta un millón de euros para las muy graves. No obstante, se decanta por la subsanación de la infracción, antes que el castigo (art. 39).

 

Mantente informado de las noticias más relevantes en nuestro canal de Telegram

Te podría interesar

«En el caso de las tarjetas de pago, un ciberataque puede llegar a paralizar todas las transacciones y por ende tu actividad core»
Entrevistas
18 compartido2,540 visualizaciones
Entrevistas
18 compartido2,540 visualizaciones

«En el caso de las tarjetas de pago, un ciberataque puede llegar a paralizar todas las transacciones y por ende tu actividad core»

Alicia Burrueco - 5 mayo, 2020

Hoy os traemos una nueva entrevista en la que hablamos con Francisco Javier, CISO de Diners Club Spain. Él nos…

Cyber Insurance Day 2020: Álbum de recuerdos
Cyber Insurance Day
9 compartido1,872 visualizaciones
Cyber Insurance Day
9 compartido1,872 visualizaciones

Cyber Insurance Day 2020: Álbum de recuerdos

Alicia Burrueco - 2 julio, 2020

¿Quieres revivir la I Edición del Cyber Insurance Day? Los pasados 18 y 19 de junio de 2020 tuvimos el…

Llega el II Encuentro Nacional de  Red Team
Eventos
12 compartido1,688 visualizaciones
Eventos
12 compartido1,688 visualizaciones

Llega el II Encuentro Nacional de Red Team

Vicente Ramírez - 8 agosto, 2019

  Tras el éxito del año pasado, el II Encuentro Nacional de Red Team de España tendrá lugar el miércoles,…

Deje un comentario

Su email no será publicado

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.