El BOE de hoy publica el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información, que transpone al ordenamiento jurídico español la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión Europea. Se trata de la Directiva NIS, o de ciberseguridad.
El objeto de este real decreto-ley es regular la seguridad de las redes y sistemas de información utilizados para la provisión de los servicios esenciales y de los servicios digitales, y establecer un sistema de notificación de incidentes.
Ámbito de aplicación
a) Servicios esenciales dependientes de las redes y sistemas de información comprendidos en los sectores estratégicos definidos en el anexo de la Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas.
b) Servicios digitales que sean mercados en línea, motores de búsqueda en línea y servicios de cloud computing.
Obligaciones de seguridad
Los operadores de servicios esenciales y los proveedores de servicios digitales deberán adoptar medidas técnicas y de organización, adecuadas y proporcionadas, para gestionar los riesgos que se planteen para la seguridad de las redes y sistemas de información utilizados en la prestación de los servicios prestados.
Tendrán también deber de notificar incidentes de seguridad, y deberán tomar medidas adecuadas para prevenir y reducir al mínimo el impacto de los incidentes que les afecten.
El desarrollo reglamentario del real decreto-ley preverá las medidas necesarias para el cumplimiento de las obligaciones de seguridad.
Los proveedores de servicios digitales determinarán las medidas de seguridad que aplicarán, teniendo en cuenta, como mínimo, los avances técnicos y los siguientes aspectos:
a) La seguridad de los sistemas e instalaciones;
b) La gestión de incidentes;
c) La gestión de la continuidad de las actividades;
d) La supervisión, auditorías y pruebas;
e) El cumplimiento de las normas internacionales.
Acceso a la norma: