Cabecera Home
Revista Seguritecnia Edición impresa
NOTICIA

El Minetad abre audiencia pública para el Anteproyecto de Ley sobre la Seguridad de las Redes y Sistemas de Información

01/12/2017 - E. González
Esta ley transpone al Ordenamiento jurídico español la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión.

El Ministerio de Energía, Turismo y Agenda Digital (Minetad) ha sacado a audiencia pública (hasta el 8 de enero de 2018) el Anteproyecto de Ley sobre la Seguridad de Redes y Sistemas de Información, qué traspondrá al ordenamiento jurídico español la conocida como Directiva NIS (Directiva 2016/1148, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información de la Unión). La norma tiene por objeto “regular la seguridad de las redes y sistemas de información utilizados para la provisión de los servicios esenciales y de los servicios digitales y establecer un sistema de notificación de incidentes”.

Según indica el anteproyecto, esta ley se aplicará a los servicios esenciales dependientes de las redes y sistemas de la información enmarcados en alguno de los 12 sectores definidos en la Ley sobre Protección de las Infraestructuras Críticas. Asimismo, estarán sujetos a ella los servicios digitales que sean mercados en línea, motores de búsqueda y servicios de computación en la nube. Es decir, operadores de servicios esenciales y proveedores de servicios digitales tendrán pues que adoptar medidas técnicas y de organización “adecuadas y proporcionadas para gestionar los riesgos que se planteen para la seguridad de las redes y sistemas de información utilizados en la prestación de los servicios sujetos a esta ley”. Dichas medidas se especificarán a través del desarrollo reglamentario de la norma.

Para atender el mandato de la Directiva NIS, el anteproyecto establece que sea el Consejo de Seguridad Nacional, a través del Departamento de Seguridad Nacional, el que ejercerá de punto de contacto único para atender las funciones de enlace que permitan la cooperación entre Estados miembros de la Unión Europea, así como con el Grupo de Cooperación y la red comunitaria de CSIRT (equipos de respuesta ante emergencias informáticas).

Notificación de incidentes

Uno de los aspectos que ha despertado mayor interés en esta transposición es la comunicación de percances de ciberseguridad. El anteproyecto recoge el deber de notificar “a la autoridad competente, a través del CSIRT de referencia, los incidentes que puedan tener efectos significativos en dichos servicios”.

Dichas “autoridades competentes” varían según diferentes categorías. Para los operadores críticos será la Secretaría de Estado de Seguridad, a través del Centro Nacional de Protección de Infraestructuras y Ciberseguridad, mientras que los operadores que sean estratégicos pero no críticos tendrán como referencia a “la autoridad sectorial correspondiente, según se determine reglamentariamente”. Por su parte, los proveedores de servicios digitales tendrán como referencia a la Secretaría de Estado para la Sociedad de la Información y la Agenda Digital, si bien no especifica un organismo concreto.

Finalmente, la autoridad competente para los operadores de servicios esenciales y proveedores de servicios digitales de carácter público, que no sean críticos, será el Ministerio de Presidencia, a través del Centro Criptológico Nacional.

El anteproyecto, que contiene 42 artículos divididos en siete títulos, aborda otros muchos aspectos como las funciones de las autoridades competentes, los requisitos y funciones de los CSIRT de referencia, la cooperación con otras autoridades, la confidencialidad de la información sensible, la autorización para la cesión de datos personales o la supervisión de los operadores de servicios esenciales y proveedores digitales.

También establece un régimen de sanciones, clasificadas en infracciones muy graves, graves y leves. Las primeras supondrían multas de entre 500.001 y un millón de euros, las graves de entre 100.001 y 500.000 euros y las leves conllevarían amonestaciones o multas hasta los 100.000 euros. Además, las infracciones muy graves o graves “podrán ser publicadas, a costa del sancionado, en el Boletín Oficial del Estado y en el sitio de internet de la autoridad competente”.Las observaciones a este anteproyecto de ley podrán presentarse hasta el 8 de enero de 2018 y deberán cursarse a través del correo electrónico: sgssi@minetad.es.

Consulta el Borrador de Anteproyecto de Ley sobre la seguridad de las Redes y Sistemas de Información [PDF] [237 KB]

Consulta la Memoria de impacto normativo [PDF] [129 KB]

Volver