El pasado sábado 8 de septiembre, el Boletín Oficial del Estado, BOE, publicó el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información, después de que fuera aprobado en el Consejo de Ministros del viernes anterior. De este modo, se incorpora al ordenamiento jurídico español la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, más conocida como Directiva NIS, que busca identificar los sectores en los que se debe garantizar la protección de las redes y sistemas de información y establecer las exigencias de notificación de ciberincidentes.
El objeto del Real Decreto es “regular la seguridad de las redes y sistemas de información utilizados para la provisión de los servicios esenciales y de los servicios digitales, y establecer un sistema de notificación de incidentes”, al tiempo que “establece un marco institucional para la coordinación entre autoridades competentes y con los órganos de cooperación relevantes en el ámbito comunitario”.
Todo ello, tal y como se recoge en el prólogo, “conscientes del carácter transversal e interconectado de las tecnologías de la información y de la comunicación (TIC)”, y de sus amenazas y riesgos, lo que limita la eficacia de las medidas que se emplean para contrarrestarlos cuando se toman de modo aislado.
Por tanto, prosigue el texto, “es oportuno establecer mecanismos que, con una perspectiva integral, permitan mejorar la protección frente a las amenazas que afectan a las redes y sistemas de información, facilitando la coordinación de las actuaciones realizadas en esta materia tanto a nivel nacional como con los países de nuestro entorno, en particular, dentro de la Unión Europea”.
CCN-CERT, coordinador nacional
El artículo 11 de este Real Decreto establece tres CSIRT de referencia, que se coordinarán entre sí y con el resto de equipos nacionales e internacionales en la respuesta a incidentes y gestión de riesgos. Así, para el sector público el CSIRT de referencia es el CCN-CERT, del Centro Criptológico Nacional. Además, tal y como señala el RD, “en los supuestos de especial gravedad que reglamentariamente se determinen y que requieran un nivel de coordinación superior al necesario en situaciones ordinarias, el CCN-CERT ejercerá la coordinación nacional de la respuesta técnica de los CSIRT”.
Los otros dos CSIRT son el INCIBE-CERT para la comunidad que no pertenezca al CCN-CERT, ciudadanos y entidades de derecho privado (operado conjuntamente por el INCIBE y el CNPIC en la gestión de los incidentes que afecten a los operadores críticos) y el ESPDEF-CERT, del Mando Conjunto de Ciberdefensa, que cooperará con los otros dos CSIRT en aquellas situaciones que éstos requieran en apoyo de los operadores de servicios esenciales y, necesariamente, en aquellos que tengan incidencia en la Defensa Nacional.
Autoridades competentes
El documento señala tres autoridades competentes en materia de seguridad (artículo 9):
a) Para los operadores de servicios esenciales:
• En el caso de que éstos sean, además, designados como operadores críticos conforme a la Ley 8/2011, de 28 de abril: la Secretaría de Estado de Seguridad, del Ministerio del Interior, a través del Centro Nacional de Protección de Infraestructuras y Ciberseguridad (CNPIC).
• En el caso de que no sean operadores críticos: la autoridad sectorial correspondiente por razón de la materia, según se determine reglamentariamente.
b) Para los proveedores de servicios digitales: la Secretaría de Estado para el Avance Digital, del Ministerio de Economía y Empresa.
c) Para los operadores de servicios esenciales y proveedores de servicios digitales que no siendo operadores críticos se encuentren comprendidos en el ámbito de aplicación de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del sector Público: el Ministerio de Defensa, a través del Centro Criptológico Nacional.
Obligación de notificar incidentes
El Real Decreto contempla la obligación de los operadores de servicios esenciales y los proveedores de servicios digitales (artículo 19) de notificar a la autoridad competente, a través del CSIRT de referencia, los incidentes que puedan tener efectos perturbadores significativos en dichos servicios e incluye aquellas notificaciones de sucesos o incidencias que aún no hayan tenido un efecto adverso real (peligrosidad potencial).
El texto también señala que las autoridades competentes y los CSIRT de referencia utilizarán una plataforma común para facilitar y automatizar los procesos de notificación, comunicación e información sobre incidentes a modo de las funcionalidades que ya presenta la solución LUCIA del CCN-CERT. Además, se detalla que los empleados y el personal que notifique sobre dichos incidentes “no podrá sufrir consecuencias adversas en su puesto de trabajo o con la empresa, salvo en los supuestos en que se acredite mala fe en su actuación”.
Los operadores de servicios esenciales y los proveedores de servicios digitales tienen la obligación de resolver los incidentes de seguridad que les afecten, y de solicitar ayuda especializada, incluida la del CSIRT de referencia, cuando no puedan resolver por sí mismos los incidentes.
En este sentido, el RD incluye un régimen sancionador que puede ir desde multas de 100.000 euros para las infracciones leves hasta un millón de euros para las muy graves. No obstante, se decanta por la subsanación de la infracción, antes que el castigo (art. 39).