Aquest dissabte, 8 de setembre, el Butlletí Oficial de l'Estat, BOE, va publicar el Reial decret-llei 12/2018, de 7 de setembre , de seguretat de les xarxes i sistemes d'informació, després que fos aprovat en el Consell de Ministres del divendres anterior. D'aquesta manera, s'incorpora a l'ordenament jurídic espanyol la Directiva (UE) 2016/1148 del Parlament Europeu i del Consell, de 6 de juliol de 2016, més coneguda com a Directiva NIS, que cerca identificar els sectors en els quals s'ha de garantir la protecció de les xarxes i sistemes d'informació i establir les exigències de notificació de ciberincidentes.
L'objecte del Reial decret és “regular la seguretat de les xarxes i sistemes d'informació utilitzats per a la provisió dels serveis essencials i dels serveis digitals, i establir un sistema de notificació d'incidents”, al mateix temps que “estableix un marc institucional per a la coordinació entre autoritats competents i amb els òrgans de cooperació rellevants en l'àmbit comunitari”.
Tot això, tal com es recull en el pròleg, “conscients del caràcter transversal i interconnectat de les tecnologies de la informació i de la comunicació (TIC)”, i de les seves amenaces i riscos, la qual cosa limita l'eficàcia de les mesures que s'empren per contrarestar-los quan es prenen de manera aïllada.
Per tant, prossegueix el text, “és oportú establir mecanismes que, amb una perspectiva integral, permetin millorar la protecció enfront de les amenaces que afecten a les xarxes i sistemes d'informació, facilitant la coordinació de les actuacions realitzades en aquesta matèria tant a nivell nacional com amb els països del nostre entorn, en particular, dins de la Unió Europea”.
Aprovat el Reial decret Llei que trasllada la Directiva europea de ciberseguretat
"Notícia disponible únicament amb finalitats històriques i d'hemeroteca. La informació i enllaços mostrats es corresponen amb els quals estaven operatius a la data de la seva publicació. No es garanteix que continuïn actius actualment".
14 setembre 2018
El RDL 12/2018 assenyala al CCN-CERT com l'Equip de Resposta a Incidents de Seguretat de referència per al Sector públic i com el coordinador nacional de la resposta tècnica en els supòsits d'especial gravetat i que requereixin un nivell de coordinació superior.
El CCN-CERT és coordinador nacional
L'article 11 d'aquest Reial decret recull tres CSIRT de referència, que es coordinaran entre si i amb la resta d'equips nacionals i internacionals en la resposta a incidents i gestió de riscos. Així, per al Sector públic el CSIRT de referència és el CCN-CERT , de el Centre Criptològic Nacional. A més, tal com assenyala el RD, el CCN-CERT exercirà la coordinació nacional de la resposta tècnica dels CSIRT.
Els altres dos CSIRT són l'INCIBE-CERT per a la comunitat que no pertanyi al CCN-CERT, ciutadans i entitats de dret privat (operat conjuntament per l'INCIBE i el CNPIC en la gestió dels incidents que afectin als operadors crítics) i l'ESPDEF-CERT, del Comandament Conjunt de Ciberdefensa, que cooperarà amb els altres dos CSIRT en aquelles situacions que aquests requereixin en suport dels operadors de serveis essencials i, necessàriament, en aquells que tinguin incidència en la Defensa Nacional.
Autoritats competents
El document assenyala tres autoritats competents en matèria de seguretat (article 9):
- Per als operadors de serveis essencials:
En el cas que aquests siguin, a més, designats com a operadors crítics conforme a la Llei 8/2011, de 28 d'abril: la Secretaria d'Estat de Seguretat, del Ministeri de l'Interior, a través del Centre Nacional de Protecció d'Infraestructures i Ciberseguretat (CNPIC).
En el cas que no siguin operadors crítics: l'autoritat sectorial corresponent per raó de la matèria, segons es determini reglamentàriament.
- Per als proveïdors de serveis digitals: la Secretaria d'Estat per a l'Avanç Digital, del Ministeri d'Economia i Empresa.
- Per als operadors de serveis essencials i proveïdors de serveis digitals que no sent operadors crítics es trobin compresos en l'àmbit d'aplicació de la Llei 40/2015, d'1 d'octubre, de Règim Jurídic del Sector Públic: el Ministeri de Defensa, a través de el Centre Criptològic Nacional.
Obligació de notificar incidents
El Reial decret contempla l'obligació dels operadors de serveis essencials i els proveïdors de serveis digitals (article 19) de notificar a l'autoritat competent, a través del CSIRT de referència, els incidents que puguin tenir efectes perturbadores significatius en aquests serveis i inclou aquelles notificacions de successos o incidències que encara no hagin tingut un efecte advers real (perillositat potencial).
El text també assenyala que les autoritats competents i els CSIRT de referència utilitzaran una plataforma comuna per facilitar i automatitzar els processos de notificació, comunicació i informació sobre incidents a manera de les funcionalitats que ja presenta la solució LUCIA del CCN-CERT. A més, es detalla que els empleats i el personal que notifiqui sobre aquests incidents “no podrà sofrir conseqüències adverses en el seu lloc de treball o amb l'empresa, excepte en els supòsits en què s'acrediti mala fe en la seva actuació”.
Els operadors de serveis essencials i els proveïdors de serveis digitals tenen l'obligació de resoldre els incidents de seguretat que els afectin, i de sol·licitar ajuda especialitzada, inclosa la del CSIRT de referència, quan no puguin resoldre per si mateixos els incidents.
- Seguretat i Protecció de Dades