¿Conseguirá optimizar la gestión coordinada de incidentes de ciberseguridad la Nueva Ley 12/2018 de Seguridad de las Redes y Sistemas de Información?
¿Conseguirá optimizar la gestión coordinada de incidentes de ciberseguridad la Nueva Ley 12/2018 de Seguridad de las Redes y Sistemas de Información?
El pasado 8 de Septiembre fue publicado en el Boletín Oficial del Estado el Real Decreto Ley 12/2018, de Seguridad de las Redes y Sistemas de Información, a través del cual, el Estado transpone en el ordenamiento jurídico la Directiva Europea 2016/1148, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión, conocida como Directiva NIS.
En particular, el objetivo primordial de la Directiva NIS es mejorar la seguridad de las redes y sistemas de información de los Estados miembros de la Unión Europea, a través de una estructura organizativa, mecanismos y medidas de carácter global, integral y coordinado para garantizar la adecuada protección uniforme frente a las “ciberamenazas”, tanto internacionales y nacionales, con impacto e incidencia en sectores estratégicos y servicios esenciales (sistema financiero, tecnologías de la información y las comunicaciones, industria nuclear, industria química, agua, energía, transporte, salud, alimentación, etc.) dependientes de las redes y sistemas de información, así como de sus principales operadores críticos y proveedores digitales.
Es importante indicar que uno de los riesgos actuales más significativos de preocupación y de alta probabilidad de ocurrencia e impacto económico y reputacional a nivel mundial, son los riesgos vinculados a los ciberataques y robo de datos, tal y como lo indica el Informe Global de Riesgos 2018 del Foro Económico Mundial. Lo anterior, debido principalmente a la digitalización de los sistemas de información y a las vulnerabilidades de seguridad existentes asociadas a su infraestructura Hardware, Firmware, Software, Infraestructura Web, Navegadores, etc.
Al respecto, la “explotación” por terceros de dichas vulnerabilidades puede generar la existencia de ataques de carácter disruptivo, los cuales justifican la gran necesidad, por parte de la Unión Europea y de sus Estados miembros, de regular de forma homogénea, a través de normativas y procedimientos la gestión coordinada no aislada, preventiva, detectiva y de respuesta común e inmediata ante las “ciberamenazas”, que afectan a las redes y sistemas de información que dan soporte a sectores estratégicos y servicios esenciales de los Estados, en los cuales es indispensable mejorar su resiliencia digital ante las eventuales amenazas.
En particular, indicamos a continuación de forma general los principales aspectos regulados por el Real Decreto Ley 12/2018, de Seguridad de las Redes y Sistemas de Información, con impacto en los sectores estratégicos y servicios esenciales del Estado:
- Establecimiento de procedimientos para identificar los servicios esenciales, sus operadores y proveedores digitales.
- Definición del marco estratégico, organizativo, institucional y de cooperación de seguridad.
- La obligación de los operadores de servicios esenciales y proveedores digitales de adoptar medidas adecuadas para la gestión de riesgos con impacto en la seguridad, aun cuando su gestión se encuentre externalizada.
- La necesidad de adoptar las mejores prácticas en materia de seguridad a través de estándares internacionales y recomendaciones de la Red CSIRT de respuesta a incidentes.
- La obligación de notificación de incidentes de seguridad a través de una estructura organizativa y plataforma común para optimizar su adecuada gestión y respuesta.
- La posibilidad de notificar vulnerabilidades de la seguridad de datos de carácter personal conforme el Reglamento Europeo de Protección de Datos (GDPR) a través del anterior sistema de gestión de incidentes.
- Establecimiento del régimen sancionador cuyas sanciones por infracción pueden ser desde una amonestación o multa de cien mil euros para infracciones leves y de hasta un millón de euros para las infracciones muy graves.
En conclusión, esperemos que a través del Real Decreto Ley 12/2018, de Seguridad de las Redes y Sistemas de Información y su normativa de desarrollo e implantación sectorial, se dé un paso más hacia la mejora en la gestión coordinada para la prevención y detección integral estandarizada de incidentes de seguridad, minimizando la posibilidad de ocurrencia de los riesgos vinculados a los ciberataques que pueden afectar en gran medida a la disponibilidad y continuidad de los sectores estratégicos y servicios esenciales del Estado y de los países miembros de la Unión Europea, siendo fundamental su adecuada resiliencia digital.
Desde octubre de 2016, Juan Carlos es profesor asociado del Máster en Derecho de las Telecomunicaciones y Tecnologías de la Información (MDTT) por la Universidad Carlos III de Madrid.
Dispone de una experiencia de más de 10 años en dirección, gestión, ejecución y desarrollo de negocio de servicios gestionados de consultoría, auditoría, oficinas técnicas/normativa y formación conforme estándares internacionales y buenas practicas sectoriales, en los ámbitos de Gestión de Riesgos, Control Interno, Corporate Compliance, Modelos de Prevención y Detección de Delitos y Sistemas de Gestión de Anticorrupción/Antisoborno, Gobierno TI, Sistemas de Gestión de Seguridad de la Información, Sistemas de Gestión de Continuidad de Negocio, Resiliencia, Privacidad, Protección de Datos y Cumplimento Normativo Nacional e Internacional, principalmente para clientes nacionales e internacionales del sector bancario, asegurador, automoción, transporte, industrial, hospitalario y HealthCare.
Juan Carlos es licenciado en Derecho y Máster en Derecho de las Telecomunicaciones y Tecnologías de la Información (MDTT) por la Universidad Carlos III de Madrid. En 2016 Juan Carlos aprobó el Postgrado Corporate Compliance impartido por la Facultad de Derecho de ESADE de la Universidad Ramon Llull.
