• Síganos en redes sociales
Imágenes del tema: MichaelJay. Con la tecnología de Blogger.

Blog

Le esperamos en nuestro despacho

Síganos en Facebook

Valoración en Abogados 365

Síganos en Twitter

jueves, 28 de enero de 2021

Publicado el Real Decreto 43/2021 que desarrolla el Real Decreto-Ley de seguridad de las redes

 



Tiempo de lectura | 4'

28/01/2021


Este jueves el Boletín Oficial del Estado (BOE) publica el Real Decreto 43/2021, de 26 de enero, por el que se desarrolla el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información.


El pasado 6 de julio de 2016 se aprobó la Directiva (UE) 2016/1148 del Parlamento Europeo y  del Consejo relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información de la Unión Europea, conocida como Directiva NIS (Security of Network and Insformation Systems). El Real Decreto publicado en el BOE explica que "esta norma parte de un enfoque global de la seguridad de las redes y sistemas de información de la Unión Europea, integrando requisitos mínimos comunes en materia de desarrollo de capacidades y planificación, intercambio de información, cooperación y requisitos comunes de seguridad para los operadores de servicios esenciales y los proveedores de servicios digitales".


A finales del año 2018, la transposición de la citada Directiva NIS se llevó al ordenamiento jurídico español mediante el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información. Establece que "esta norma legal regula la seguridad de las redes y sistemas de información utilizados para la provisión de los servicios esenciales y los servicios digitales, estableciendo mecanismos que, con una perspectiva integral, permiten mejorar la protección frente a las amenazas que afectan a las redes y sistemas de información, y fijando un marco institucional de cooperación que facilita la coordinación de las actuaciones realizadas en esta materia tanto a nivel nacional como con los países de nuestro entorno, en particular, dentro de la Unión Europea".


En esta ocasión, el Real Decreto 43/2021, de 26 de enero, que publica el BOE, establece como ámbito de aplicación la prestación de los servicios esenciales dependientes de las redes y sistemas de información comprendidos en los sectores estratégicos definidos en el anexo de la Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas. Pero también la prestación de servicios digitales que sean mercados en línea, motores de búsqueda en línea y servicios de computación en nube.


Ámbito de aplicación


En el artículo 2.2. también se contempla que estén sometidos a este nuevo Real Decreto "los operadores de servicios esenciales establecidos en España. Se entenderá que un operador de servicios esenciales está establecido en España cuando su residencia o domicilio social se encuentren en territorio español, siempre que estos coincidan con el lugar en que esté efectivamente centralizada la gestión administrativa y la dirección de sus negocios o actividades. Así mismo, este real decreto será de aplicación a los servicios esenciales que los operadores residentes o domiciliados en otro Estado ofrezcan a través de un establecimiento permanente situado en España."


También "los proveedores de servicios digitales que tengan su sede social en España y que constituya su establecimiento principal en la Unión Europea, así como los que, no estando establecidos en la Unión Europea, designen en España a su representante en la Unión para el cumplimiento de la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión."


Por contra, este Real Decreto no se aplica, según establece el artículo 2.3, a "los operadores de redes y servicios de comunicaciones electrónicas y los prestadores de servicios electrónicos de confianza que no sean designados como operadores críticos en virtud de la Ley 8/2011, de 28 de abril.". Tampoco a "los proveedores de servicios digitales cuando se trate de microempresas o pequeñas empresas, de acuerdo con las definiciones recogidas en la Recomendación 2003/361/CE de la Comisión, de 6 de mayo de 2003, sobre la definición de microempresas, pequeñas y medianas empresas."


Cabe destacar que en dicho Real Decreto se establecen los requisitos de seguridad, así como las medidas para el cumplimiento de las obligaciones de seguridad, el responsable de la seguridad de la información, la gestión de incidentes de seguridad o las obligaciones de notificación de los incidentes de los operadores de servicios esenciales: "Los operadores de servicios esenciales notificarán a la autoridad competente respectiva, a través del CSIRT de referencia, los incidentes que puedan tener efectos perturbadores significativos en dichos servicios, considerándose a tal efecto los incidentes con un nivel de impacto crítico, muy alto o alto, según el detalle que se especifica en el apartado 4 de la Instrucción nacional de notificación y gestión de ciberincidentes, que se contiene en el anexo de este real decreto. Asimismo, notificarán los sucesos o incidencias que, por su nivel de peligrosidad, puedan afectar a las redes y sistemas de información empleados para la prestación de los servicios esenciales, aun cuando no hayan tenido todavía un efecto adverso real sobre aquellos. A estos efectos, se considerarán los incidentes con un nivel de peligrosidad crítico, muy alto o alto, según el detalle que se especifica en el apartado 3 de la citada Instrucción", reza el artículo 9.1.


En el Real Decreto también se especifica todo lo relacionado con el deber de supervisión del cumplimiento de las obligaciones de seguridad y de notificación de incidentes.

Contacto


Tenemos nuestro despacho en Palma de Mallorca

Salvà Hernández Abogados
C/ Costa de ses germanetes 8, 1ºB
07010 - Palma de Mallorca (Illes Balears)
971-202-316
683-372-909
salvahernandez.abogados@icaib.org
Consulte nuestro Aviso legal