2 enero, 2018

Por Pedro Martín Molina

de Martín Molina abogados y economistas

El Anteproyecto de Ley sobre la seguridad de las redes y sistemas de información tiene como objetivo «regular la seguridad de las redes y sistemas de información utilizados para la provisión de los servicios esenciales y de los servicios digitales y establecer un sistema de notificación de incidentes».
La evolución de las Tecnologías de la Información y de la Comunicación (TIC), especialmente con el desarrollo de Internet, ha hecho que las redes y sistemas de información desempeñen actualmente un papel fundamental en la sociedad, siendo su fiabilidad y seguridad «aspectos esenciales para el desarrollo normal de las actividades económicas y sociales». En consecuencia, cualquier incidente -bien fortuito, bien deliberado- que alteren dichas actividades se convierten en una amenaza, lo que conlleva pérdida tanto financiera como de la confianza de la población, y, en definitiva, causar graves daños a la economía y en la sociedad.
Por este motivo, parece oportuno crear unos mecanismos que, con una perspectiva integral, permitan mejorar la protección frente a las amenazas que afectan a las redes y sistemas de información, facilitando la coordinación de las actuaciones realizadas en esta materia tanto a nivel nacional como con los países de nuestro entorno, en particular, dentro de la Unión Europea (UE).
Así pues, los operadores de servicios esenciales y los proveedores de servicios digitales deberán:
adoptar medidas técnicas y de organización, adecuadas y proporcionadas, para gestionar los riesgos que se planteen para la seguridad de las redes y sistemas de información utilizados en la prestación de los servicios sujetos a esta ley;
tomar las medidas para prevenir y reducir al mínimo el impacto de los incidentes que les afecten;
notificar a la autoridad competente los incidentes que puedan tener efectos significativos en los servicios;
comunicar los sucesos o incidencias que puedan afectar las redes y sistemas de información usados para la prestación de los servicios.
En este contexto, este Anteproyecto incluye un régimen sancionador, diferenciando tres tipos de infracciones: muy graves -multa de 500.001 euros hasta un millón de euros-; graves, -multa de 100.001 euros hasta 500.000 euros-, y leves -amonestación o multa de hasta 100.000 euros-.
Una infracción muy grave es la falta de adopción de medidas para subsanar los incumplimientos detectados, cuando éstos le hayan hecho vulnerable a un incidente con efectos significativos en el servicio y la compañía no hubiera atendido los requerimientos dictados por la autoridad competente con anterioridad a la producción del incidente.
Una infracción grave o leve proviene del incumplimiento reiterado (a partir del segundo incumplimiento) de la obligación de notificar incidentes con efectos significativos en el servicio, y no tomar las medidas necesarias para resolver los incidentes cuando éstos tengan un impacto significativo en servicios esenciales o servicios digitales en España o en otros Estados miembros.
Entre las infracciones graves se encuentran:
– el incumplimiento de las disposiciones reglamentarias o de las instrucciones técnicas de seguridad dictadas por la autoridad competente referidas a las precauciones mínimas que los operadores de servicios esenciales han de adoptar para garantizar la seguridad de las redes y sistemas de información;
– la falta de adopción de medidas para subsanar los incumplimientos detectados en respuesta a un requerimiento dictado cuando sea el tercero desatendido en cinco años;
– el incumplimiento de la obligación de notificar incidentes con efectos significativos en el servicio;
– la demostración de una notoria falta de interés en la resolución de incidentes con impacto significativo;
– la información falsa o engañosa al público sobre los estándares que cumple o las certificaciones de seguridad que mantiene en vigor.
Para concluir, debemos indicar que se impondrá multa de entre 500.001 euros y un millón de euros a los operadores de servicios esenciales y proveedores de servicios digitales que cometan infracciones muy graves en materia de ciberseguridad, como el incumplimiento reiterado de notificar incidentes con efectos significativos en el servicio o no tomar las medidas necesarias para resolverlos.

¿Ha ganado una cesta de Navidad? ¿Y qué dice Hacienda?
Intel, los chips, y una crisis de comunicación

Publica un comentario