Real Decreto-ley: seguridad de las redes y sistemas de información

INTRODUCCIÓN 

El pasado 6 de julio de 2016 se aprobó la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información de la Unión. Es la conocida Directiva NIS (network and information systems). Esta nueva normativa iba destinada a la necesidad de crear una estrategia de ciberseguridad común para todos los ciudadanos europeos dado la gran importancia que el mundo digital ha cobrado en la actualidad.  

Las constantes innovaciones como también los peligros que generan, deben ser regulados a nivel europeo para así garantizar la protección de todos los ciudadanos sobre dicha materia. En definitiva, estamos hablando de la necesidad de impulsar un Mercado Digital Único. Efectivamente, diversos estudios han mostrado que los Estados Miembro poseen distintos grados de ciberseguridad. Además, la mayoría de ellos se presentan como insuficientes. Por lo tanto, requiere de una intervención a nivel global para aportar soluciones efectivas.  

Años más tarde, finalmente España ha decidido implementar dicha normativa a nivel interno. Y como resultado ha salido el Real Decreto-ley 12/2018, de 7 de septiembre. Su contenido es sobre la seguridad de las redes y sistemas de información. Sin embargo, debería de haber sido transpuesta la directiva antes del pasado 9 de mayo de 2018 pero no fue posible por la inestabilidad política que ha sufrido el país. Así pues, ha sido necesario que la Comisión Europea envié un requerimiento a España para que cumpla con su deber para que decidiera actuar al respecto.  

ESTRUCTURA Y CONTENIDO DEL REAL DECRETO-LEY  

Con dicho Real Decreto-ley se ha pretendido dar un enfoque global a la materia, sin dejar de preservar su legislación específica. Por lo tanto, incluye a sectores que no se encuentran incluidos expresamente en la Directiva. En concreto, el Real Decreto-ley está formado por 42 artículos, estructurados en 7 títulos los cuales son los siguientes: 

  • Título I: contiene las disposiciones generales, su objeto y ámbito de aplicación, así como específica las definiciones que serán usadas a lo largo del texto, las directrices y orientaciones comunitarias y finalmente la salvaguarda de funciones estatales esenciales.  
  • Título II: habla sobre los servicios esenciales y servicios digitales, determinado la forma y criterios de identificación de los servicios esenciales y de los operadores que los presten. Así pues, identifica los sectores en los que es necesario garantizar la protección de las redes y sistemas de información.  
  • Título III: trata sobre el marco estratégico e institucional de la seguridad de las redes y sistemas de información. Así pues, regula el marco estratégico de la seguridad de las redes y sistemas de información, las autoridades competentes y sus funciones, etc.
  • Título IV: habla sobre las obligaciones de seguridad regulando las obligaciones de los operadores de servicios esenciales y de los proveedores de servicios digitales.  
  • Título V: trata sobre la notificación de incidentes obligando a ser notificados cuando tengan efectos perturbadores significativos.  
  • Título VI: trata sobre la supervisión disponiendo las potestades de inspección y control de las autoridades competentes sobre los operadores y los proveedores de servicios esenciales. Además, también supervisa la cooperación con las autoridades nacionales con otros Estados Miembros para asegurar el mantenimiento de sinergias entre ellos.  
  • Título VII: contiene el régimen sancionador donde se tipifican las infracciones y sanciones. Dicho Decreto-ley apuesta por la subsanación de la infracción cometida antes que la imposición de un castigo.  

PUNTO DE CONTACTO ÚNICO ENTRE LOS ESTADOS MIEMBRO 

En la Directiva Europea se ha establecido un punto de contacto único que une a todos los Estados miembro. Su objetivo es el de garantizar que se cumplen con los propósitos de la normativa. Dicho punto es el Consejo de Seguridad Nacional. Su función es principalmente ser un enlace que controle y garantice la cooperación transfronteriza de las autoridades competentes designadas de cada país y de la red de CSIRT.  

Así pues, cuando alguna autoridad competente o el CSIRT reciba una alerta de posible afectación a alguno de los Estados miembro, dicho aviso será comunicado al Consejo de Seguridad Nacional. De esta manera el punto de contacto único podrá advertir al o a los Estado/s miembro afectados. Pero esto no es todo dado que dicho punto enviará a la Comisión Europea un informe anual donde se resuman las notificaciones recibidas por parte de las Autoridades Competentes.  

LA DIFERENCIA RESPECTO LA DIRECTIVA Y EL REAL DECRETO-LEY 

La principal diferencia que podemos encontrar es que el Real Decreto-ley hace un paso más allá e incorpora nuevos sujetos en su ámbito de aplicación. Dichos sectores incorporados no se encuentran expresamente incluidos en la Directiva y son:  

  • Entidades que presenten servicios esenciales para la comunidad y dependan de las redes y sistemas de información para el desarrollo de su actividad.  
  • Actividades de explotación de las redes y de prestación de servicios de comunicaciones electrónicas y los recursos asociados.  
  • Servicios electrónicos de confianza únicamente en lo que respecta a los operadores críticos.  
  • Proveedores de determinados servicios digitales los cuales son sometidos por parte de la Directiva Europea a un régimen de armonización máxima, similar a un reglamento.  

 CONCLUSIONES 

Ante la falta de un Estado mundial que gobierne sobre todo los países, es necesario crear sinergias comunes entre los Estados Miembro de la UE. Su necesidad viene dada para mitigar el ataque en las redes que tan potente esta en la actualidad. El lema actual en el mundo digital se puede definir a través de una máxima latina: bellum ómnium contra omnes. Es decir, ‘la guerra de todos contra todos’.

Real Decreto-ley: seguridad de las redes y sistemas de información