La denominada Ley de Ciberseguridad tiene por objeto regular la seguridad de las redes y sistemas de información utilizados para la provisión de los servicios esenciales y de los servicios digitales, y establecer un sistema de notificación de incidentes.
¿A qué entidades se aplica
la Ley de Ciberseguridad?
- Aquellas que presten servicios esenciales dependientes de las redes y sistemas de informacióncomprendidos en los sectores estratégicos definidos en la Ley 8/2011, de 28 de abril.
- Aquellas que presenten servicios digitales que sean mercados en línea, motores de búsqueda en línea y servicios de computación en nube.
- Operadores de servicios esenciales establecidos en España, además de aquellos que ofrezcan servicios esenciales a través de un establecimiento permanente situado en España.
- Proveedores de servicios digitales que tengan su sede social en España y que constituya su establecimiento principal en la Unión Europea,así como los que, no estando establecidos en la Unión Europea, designen en España a su representante en la Unión para el cumplimiento de la Directiva (UE) 2016/1148.
¿A qué entidades NO se aplica la Ley de Ciberseguridad?
- Operadores de redes y servicios de comunicaciones electrónicas y prestadores de servicios electrónicos de confianza que no sean designados como operadores críticos en virtud de la Ley 8/2011, de 28 de abril.
- Proveedores de servicios digitales cuando se trate de microempresas o pequeñas empresas.
¿Qué supone
la aplicación de la Ley de Ciberseguridad?
1. Obligaciones de seguridad
- Adoptar medidas técnicas y de organización, adecuadas y proporcionadas, para gestionar los riesgos que se planteen para la seguridad de las redes y sistemas de información utilizados en la prestación de los servicios sujetos a la Ley de Ciberseguridad. Además, deberán tomar medidas adecuadas para prevenir y reducir al mínimo el impacto de los incidentes que les afecten.
- Los operadores de servicios esenciales designarán y comunicarán a la autoridad competente el responsable de la seguridad de la información.
- Los proveedores de servicios digitales determinarán las medidas de seguridad que aplicarán, teniendo en cuenta los avances técnicos y los siguientes aspectos: la seguridad de los sistemas e instalaciones, la gestión de incidentes, la gestión de la continuidad de las actividades, la supervisión, auditorías y pruebas, y el cumplimiento de las normas internacionales.
2. Obligación de notificar y
resolver incidentes
Se impone la obligación de notificar a la autoridad
competente, a través del CSIRT de referencia, los incidentes que puedan tener
efectos perturbadores significativos en los servicios. En cuanto a los
proveedores de servicios digitales, esta obligación se aplicará cuando se tenga
acceso a la información necesaria para valorar el impacto de un incidente. También
se prevé la posibilidad de realizar notificaciones voluntarias de aquellas
entidades que presten servicios esenciales pero no les sea de aplicación la Ley
de Ciberseguridad, que obligarán a la entidad que las efectúe a resolver el
incidente.
La importancia de un incidente se determinará
teniendo en cuenta, como mínimo, los siguientes factores:
- El
número de usuarios afectados por la perturbación del servicio esencial.
- La
duración del incidente.
- La
extensión o áreas geográficas afectadas por el incidente.
- El
grado de perturbación del funcionamiento del servicio.
- El
alcance del impacto en actividades económicas y sociales cruciales.
- La
importancia de los sistemas afectados o de la información afectada por el
incidente para la prestación del servicio esencial.
- El
daño a la reputación.
Es importante recordar que esta obligación no obsta
al cumplimiento de los deberes legales de denuncia de aquellos hechos que
revistan caracteres de delito. Por otra parte, las notificaciones no sujetarán
a la entidad que las efectúe a una mayor responsabilidad, y sus empleados y el
personal no podrán sufrir consecuencias adversas en su puesto de trabajo o con
la empresa, salvo que se acredite mala fe en su actuación.
La autoridad competente podrá decidir informar de
modo directo al público o a terceros potencialmente interesados sobre el
incidente, o exigir a las entidades que lo hagan cuando su conocimiento sea
necesario para evitar nuevos incidentes o gestionar uno que ya se haya
producido, o cuando la divulgación de un incidente redunde en beneficio del
interés público.
Existe obligación de resolver los incidentes de
seguridad y de solicitar ayuda especializada cuando no puedan resolver por sí
mismos los incidentes (art. 28.1).
Si la notificación de incidentes o su gestión,
análisis o resolución requiere comunicar datos personales, su tratamiento se
restringirá a los que sean estrictamente adecuados, pertinentes y limitados a
lo necesario en relación con la finalidad, de las indicadas, que se persiga en
cada caso.
3. Supervisión
Las autoridades competentes podrán requerir alosoperadores de servicios esenciales que faciliten la información necesaria
para evaluar la seguridad de las redes y sistemas de información, incluida la
documentación sobre políticas de seguridad. También se puede requerir auditar o
exigir al operador que someta la seguridad de sus redes y sistemas de información
a una auditoría por una entidad externa, solvente e independiente. Posteriormente,
la autoridad competente podrá requerir al operador que subsane las deficiencias
detectadas e indicarle cómo debe hacerlo (art. 32.2).
La autoridad competente solo inspeccionará el
cumplimiento de estas obligaciones de los servicios digitales cuando tenga
noticia de algún incumplimiento, incluyendo por petición razonada de otros
órganos o denuncia (art. 33.1).
¿Qué sucede
si se incumple lo previsto en la Ley de Ciberseguridad? Régimen sancionador
Los responsables serán los operadores de servicios
esenciales y los proveedores de servicios digitales comprendidos en el ámbito
de aplicación de la Ley de Ciberseguridad.
Son infracciones muy graves, cuya comisión
implica una sanción de multa de 500.001 hasta 1.000.000 euros:
- La
falta de adopción de medidas para subsanar las deficiencias detectadas (artículos
32.2 o 33.1) cuando éstas le hayan hecho vulnerable a un incidente con efectos
perturbadores significativos en el servicio y no se hubieran atendido los
requerimientos dictados por la autoridad competente con anterioridad a la
producción del incidente.
- El
incumplimiento reiterado de la obligación de notificar incidentes con efectos
perturbadores significativos (a partir del segundo incumplimiento) en el
servicio.
- No
tomar las medidas necesarias para resolver los incidentes (artículo 28.1)
cuando éstos tengan un efecto perturbador significativo.
Son infracciones graves cuya comisión
implica una sanción de multa de 100.001 hasta 500.000 euros:
- El
incumplimiento de las instrucciones referidas a las precauciones mínimas que
los operadores de servicios esenciales han de adoptar para garantizar la
seguridad de las redes y sistemas de información.
- La
falta de adopción de medidas para subsanar las deficiencias detectadas en
respuesta a un requerimiento dictado de acuerdo con los artículos 32.2 o 33.1,
cuando ese sea el tercer requerimiento desatendido que se dicta en los cinco
últimos años.
- El
incumplimiento de la obligación de notificar incidentes con efectos
perturbadores significativos en el servicio.
- La
demostración de una notoria falta de interés en la resolución de incidentes con
efectos perturbadores significativos notificados cuando dé lugar a una mayor
degradación del servicio.
- Proporcionar
información falsa o engañosa al público sobre los estándares que cumple o las
certificaciones de seguridad que mantiene en vigor.
- Poner
obstáculos a la realización de auditorías por la autoridad competente.
Son infracciones leves cuya comisión implica
una sanción de multa de hasta 100.000 euros o amonestación:
- El
incumplimiento de las disposiciones reglamentarias o de las instrucciones
técnicas de seguridad dictadas por la autoridad competente al amparo de este
real decreto-ley, cuando no suponga una infracción grave.
- La
falta de adopción de medidas para corregir las deficiencias detectadas en
respuesta a un requerimiento de subsanación dictado de acuerdo con los
artículos 32.2 o 33.1.
- No
facilitar la información que sea requerida sobre sus políticas de seguridad, o
proporcionar información incompleta o tardía sin justificación.
- No
someterse a una auditoría de seguridad según lo ordenado por la autoridad
competente.
- No
proporcionar al CSIRT de referencia o a la autoridad competente la información
que soliciten en virtud del artículo 28.2.
- La
falta de notificación de los sucesos o incidencias para los que exista
obligación de notificación en virtud del del artículo 19.2.
- No
completar la información que debe reunir la notificación de incidentes o no
remitir el informe justificativo sobre la imposibilidad de reunir la
información.
- No
seguir las indicaciones que reciba del CSIRT de referencia para resolver un
incidente.
Las sanciones firmes en vía administrativa por
infracciones muy graves y graves podrán ser publicadas, a costa del sancionado,
en el BOE y en el sitio de Internet de la autoridad competente.
Las sanciones se establecerán teniendo en cuenta
los siguientes criterios:
- El grado de culpabilidad o la existencia de intencionalidad.
- La continuidad o persistencia en la conducta infractora.
- La naturaleza y cuantía de los perjuicios causados.
- La reincidencia, por comisión en el último año de más de una infracción de la misma naturaleza, cuando así haya sido declarado por resolución firme en vía administrativa.
- El número de usuarios afectados.
- El volumen de facturación del responsable.
- La utilización por el responsable de programas de recompensa por el descubrimiento de vulnerabilidades en sus redes y sistemas de información.
- Las acciones realizadas por el responsable para paliar los efectos o consecuencias de la infracción.
El órgano sancionador podrá establecer la cuantía
de la sanción aplicando la escala relativa a la clase de infracciones que
preceda inmediatamente en gravedad a aquella en que se integra la considerada
en el caso de que se trate, en los siguientes supuestos:
- Cuando se aprecie una cualificada disminución de la culpabilidad del imputado como consecuencia de la concurrencia significativa de varios de los criterios enunciados anteriormente.
- Cuando la entidad infractora haya regularizado la situación irregular de forma diligente.
- Cuando el infractor haya reconocido espontáneamente su culpabilidad.
Se podrá acordar, en lugar de iniciar el
procedimiento sancionador, apercibir al sujeto responsable a fin de que, en el
plazo que se determine, acredite la adopción de las medidas correctoras que
resulten pertinentes, cuando concurran los siguientes presupuestos: que los
hechos fuesen constitutivos de infracción leve o grave o que el órgano
competente no hubiese sancionado o apercibido al infractor en los dos años
previos como consecuencia de la comisión de las infracciones previstas.
Si el apercibimiento no fuera atendido en el plazo
determinado, procederá la apertura del procedimiento sancionador. NO podrán
ser objeto de apercibimiento las infracciones leves previstas en los
apartados c, d y e, así como la infracción grave por proporcionar información
falsa o engañosa al público sobre los estándares que cumple o las
certificaciones de seguridad que mantiene en vigor.
Por otra parte, NO se impondrán sanciones cuando
los hechos constitutivos de infracción lo sean también de otra tipificada en la
normativa sectorial a la que esté sujeto el prestador del servicio y exista
identidad del bien jurídico protegido, o cuando, como consecuencia de una
actuación sancionadora, se tuviera conocimiento de hechos que pudieran ser
constitutivos de infracciones tipificadas en otras leyes, se dará cuenta de los
mismos a los órganos u organismos competentes para su supervisión y sanción.
Actualmente, estamos a la espera del desarrollo reglamentario de la Ley de Ciberseguridad que facilite su aplicación y detalle, entre otros, las medidas necesarias para el cumplimiento de las obligaciones que impone.
Dña. Alina Nastasache
Twitter