Análisis a la Ley de Ciberseguridad ¿Qué supone su aplicación?

La denominada Ley de Ciberseguridad tiene por objeto regular la seguridad de las redes y sistemas de información utilizados para la provisión de los servicios esenciales y de los servicios digitales, y establecer un sistema de notificación de incidentes.

¿A qué entidades se aplica la Ley de Ciberseguridad?

  1. Aquellas que presten servicios esenciales dependientes de las redes y sistemas de informacióncomprendidos en los sectores estratégicos definidos en la Ley 8/2011, de 28 de abril.
  2. Aquellas que presenten servicios digitales que sean mercados en línea, motores de búsqueda en línea y servicios de computación en nube.
  3. Operadores de servicios esenciales establecidos en España, además de aquellos que ofrezcan servicios esenciales a través de un establecimiento permanente situado en España.
  4. Proveedores de servicios digitales que tengan su sede social en España y que constituya su establecimiento principal en la Unión Europea,así como los que, no estando establecidos en la Unión Europea, designen en España a su representante en la Unión para el cumplimiento de la Directiva (UE) 2016/1148.

¿A qué entidades NO se aplica la Ley de Ciberseguridad?

  1. Operadores de redes y servicios de comunicaciones electrónicas y prestadores de servicios electrónicos de confianza que no sean designados como operadores críticos en virtud de la Ley 8/2011, de 28 de abril.
  2. Proveedores de servicios digitales cuando se trate de microempresas o pequeñas empresas.

¿Qué supone la aplicación de la Ley de Ciberseguridad?

1. Obligaciones de seguridad

  1. Adoptar medidas técnicas y de organización, adecuadas y proporcionadas, para gestionar los riesgos que se planteen para la seguridad de las redes y sistemas de información utilizados en la prestación de los servicios sujetos a la Ley de Ciberseguridad. Además, deberán tomar medidas adecuadas para prevenir y reducir al mínimo el impacto de los incidentes que les afecten.
  2. Los operadores de servicios esenciales designarán y comunicarán a la autoridad competente el responsable de la seguridad de la información.
  3. Los proveedores de servicios digitales determinarán las medidas de seguridad que aplicarán, teniendo en cuenta los avances técnicos y los siguientes aspectos: la seguridad de los sistemas e instalaciones, la gestión de incidentes, la gestión de la continuidad de las actividades, la supervisión, auditorías y pruebas, y el cumplimiento de las normas internacionales.

2. Obligación de notificar y resolver incidentes

Se impone la obligación de notificar a la autoridad competente, a través del CSIRT de referencia, los incidentes que puedan tener efectos perturbadores significativos en los servicios. En cuanto a los proveedores de servicios digitales, esta obligación se aplicará cuando se tenga acceso a la información necesaria para valorar el impacto de un incidente. También se prevé la posibilidad de realizar notificaciones voluntarias de aquellas entidades que presten servicios esenciales pero no les sea de aplicación la Ley de Ciberseguridad, que obligarán a la entidad que las efectúe a resolver el incidente.

La importancia de un incidente se determinará teniendo en cuenta, como mínimo, los siguientes factores:

  1. El número de usuarios afectados por la perturbación del servicio esencial.
  2. La duración del incidente.
  3. La extensión o áreas geográficas afectadas por el incidente.
  4. El grado de perturbación del funcionamiento del servicio.
  5. El alcance del impacto en actividades económicas y sociales cruciales.
  6. La importancia de los sistemas afectados o de la información afectada por el incidente para la prestación del servicio esencial.
  7. El daño a la reputación.

Es importante recordar que esta obligación no obsta al cumplimiento de los deberes legales de denuncia de aquellos hechos que revistan caracteres de delito. Por otra parte, las notificaciones no sujetarán a la entidad que las efectúe a una mayor responsabilidad, y sus empleados y el personal no podrán sufrir consecuencias adversas en su puesto de trabajo o con la empresa, salvo que se acredite mala fe en su actuación.

La autoridad competente podrá decidir informar de modo directo al público o a terceros potencialmente interesados sobre el incidente, o exigir a las entidades que lo hagan cuando su conocimiento sea necesario para evitar nuevos incidentes o gestionar uno que ya se haya producido, o cuando la divulgación de un incidente redunde en beneficio del interés público.

Existe obligación de resolver los incidentes de seguridad y de solicitar ayuda especializada cuando no puedan resolver por sí mismos los incidentes (art. 28.1).

Si la notificación de incidentes o su gestión, análisis o resolución requiere comunicar datos personales, su tratamiento se restringirá a los que sean estrictamente adecuados, pertinentes y limitados a lo necesario en relación con la finalidad, de las indicadas, que se persiga en cada caso.

3. Supervisión

Las autoridades competentes podrán requerir alosoperadores de servicios esenciales que faciliten la información necesaria para evaluar la seguridad de las redes y sistemas de información, incluida la documentación sobre políticas de seguridad. También se puede requerir auditar o exigir al operador que someta la seguridad de sus redes y sistemas de información a una auditoría por una entidad externa, solvente e independiente. Posteriormente, la autoridad competente podrá requerir al operador que subsane las deficiencias detectadas e indicarle cómo debe hacerlo (art. 32.2).

La autoridad competente solo inspeccionará el cumplimiento de estas obligaciones de los servicios digitales cuando tenga noticia de algún incumplimiento, incluyendo por petición razonada de otros órganos o denuncia (art. 33.1).

¿Qué sucede si se incumple lo previsto en la Ley de Ciberseguridad? Régimen sancionador

Los responsables serán los operadores de servicios esenciales y los proveedores de servicios digitales comprendidos en el ámbito de aplicación de la Ley de Ciberseguridad.

Son infracciones muy graves, cuya comisión implica una sanción de multa de 500.001 hasta 1.000.000 euros:

  1. La falta de adopción de medidas para subsanar las deficiencias detectadas (artículos 32.2 o 33.1) cuando éstas le hayan hecho vulnerable a un incidente con efectos perturbadores significativos en el servicio y no se hubieran atendido los requerimientos dictados por la autoridad competente con anterioridad a la producción del incidente.
  2. El incumplimiento reiterado de la obligación de notificar incidentes con efectos perturbadores significativos (a partir del segundo incumplimiento) en el servicio.
  3. No tomar las medidas necesarias para resolver los incidentes (artículo 28.1) cuando éstos tengan un efecto perturbador significativo.

Son infracciones graves cuya comisión implica una sanción de multa de 100.001 hasta 500.000 euros:

  1. El incumplimiento de las instrucciones referidas a las precauciones mínimas que los operadores de servicios esenciales han de adoptar para garantizar la seguridad de las redes y sistemas de información.
  2. La falta de adopción de medidas para subsanar las deficiencias detectadas en respuesta a un requerimiento dictado de acuerdo con los artículos 32.2 o 33.1, cuando ese sea el tercer requerimiento desatendido que se dicta en los cinco últimos años.
  3. El incumplimiento de la obligación de notificar incidentes con efectos perturbadores significativos en el servicio.
  4. La demostración de una notoria falta de interés en la resolución de incidentes con efectos perturbadores significativos notificados cuando dé lugar a una mayor degradación del servicio.
  5. Proporcionar información falsa o engañosa al público sobre los estándares que cumple o las certificaciones de seguridad que mantiene en vigor.
  6. Poner obstáculos a la realización de auditorías por la autoridad competente.

Son infracciones leves cuya comisión implica una sanción de multa de hasta 100.000 euros o amonestación:

  1. El incumplimiento de las disposiciones reglamentarias o de las instrucciones técnicas de seguridad dictadas por la autoridad competente al amparo de este real decreto-ley, cuando no suponga una infracción grave.
  2. La falta de adopción de medidas para corregir las deficiencias detectadas en respuesta a un requerimiento de subsanación dictado de acuerdo con los artículos 32.2 o 33.1.
  3. No facilitar la información que sea requerida sobre sus políticas de seguridad, o proporcionar información incompleta o tardía sin justificación.
  4. No someterse a una auditoría de seguridad según lo ordenado por la autoridad competente.
  5. No proporcionar al CSIRT de referencia o a la autoridad competente la información que soliciten en virtud del artículo 28.2.
  6. La falta de notificación de los sucesos o incidencias para los que exista obligación de notificación en virtud del del artículo 19.2.
  7. No completar la información que debe reunir la notificación de incidentes o no remitir el informe justificativo sobre la imposibilidad de reunir la información.
  8. No seguir las indicaciones que reciba del CSIRT de referencia para resolver un incidente.

Las sanciones firmes en vía administrativa por infracciones muy graves y graves podrán ser publicadas, a costa del sancionado, en el BOE y en el sitio de Internet de la autoridad competente.

Las sanciones se establecerán teniendo en cuenta los siguientes criterios:

  1. El grado de culpabilidad o la existencia de intencionalidad.
  2. La continuidad o persistencia en la conducta infractora.
  3. La naturaleza y cuantía de los perjuicios causados.
  4. La reincidencia, por comisión en el último año de más de una infracción de la misma naturaleza, cuando así haya sido declarado por resolución firme en vía administrativa.
  5. El número de usuarios afectados.
  6. El volumen de facturación del responsable.
  7. La utilización por el responsable de programas de recompensa por el descubrimiento de vulnerabilidades en sus redes y sistemas de información.
  8. Las acciones realizadas por el responsable para paliar los efectos o consecuencias de la infracción.

El órgano sancionador podrá establecer la cuantía de la sanción aplicando la escala relativa a la clase de infracciones que preceda inmediatamente en gravedad a aquella en que se integra la considerada en el caso de que se trate, en los siguientes supuestos:

  1. Cuando se aprecie una cualificada disminución de la culpabilidad del imputado como consecuencia de la concurrencia significativa de varios de los criterios enunciados anteriormente.
  2. Cuando la entidad infractora haya regularizado la situación irregular de forma diligente.
  3. Cuando el infractor haya reconocido espontáneamente su culpabilidad.

Se podrá acordar, en lugar de iniciar el procedimiento sancionador, apercibir al sujeto responsable a fin de que, en el plazo que se determine, acredite la adopción de las medidas correctoras que resulten pertinentes, cuando concurran los siguientes presupuestos: que los hechos fuesen constitutivos de infracción leve o grave o que el órgano competente no hubiese sancionado o apercibido al infractor en los dos años previos como consecuencia de la comisión de las infracciones previstas.

Si el apercibimiento no fuera atendido en el plazo determinado, procederá la apertura del procedimiento sancionador. NO podrán ser objeto de apercibimiento las infracciones leves previstas en los apartados c, d y e, así como la infracción grave por proporcionar información falsa o engañosa al público sobre los estándares que cumple o las certificaciones de seguridad que mantiene en vigor.

Por otra parte, NO se impondrán sanciones cuando los hechos constitutivos de infracción lo sean también de otra tipificada en la normativa sectorial a la que esté sujeto el prestador del servicio y exista identidad del bien jurídico protegido, o cuando, como consecuencia de una actuación sancionadora, se tuviera conocimiento de hechos que pudieran ser constitutivos de infracciones tipificadas en otras leyes, se dará cuenta de los mismos a los órganos u organismos competentes para su supervisión y sanción.

Actualmente, estamos a la espera del desarrollo reglamentario de la Ley de Ciberseguridad que facilite su aplicación y detalle, entre otros, las medidas necesarias para el cumplimiento de las obligaciones que impone.

Dña. Alina Nastasache

Comments are closed.