Estàs en:
Portal de l'Administració Electrònica >
Biblioteca >
Hemeroteca >
Any 2018 >
Setembre >
Aprovat el Reial decret Llei que trasllada la Directiva europea de ciberseguretat

Aprovat el Reial decret Llei que trasllada la Directiva europea de ciberseguretat

"Notícia disponible únicament amb finalitats històriques i d'hemeroteca. La informació i enllaços mostrats es corresponen amb els quals estaven operatius a la data de la seua publicació. No es garantix que continuen actius actualment".

14 setembre 2018

El RDL 12/2018 assenyala al CCN-CERT com l'Equip de Resposta a Incidents de Seguretat de referència per al Sector públic i com el coordinador nacional de la resposta tècnica en els supòsits d'especial gravetat i que requerisquen un nivell de coordinació superior.

Este dissabte, 8 de setembre, el Butlletí Oficial de l'Estat, BOE, va publicar el Reial decret-llei 12/2018, de 7 de setembre (Obri en nova finestra) , de seguretat de les xarxes i sistemes d'informació, després que fóra aprovat en el Consell de Ministres del divendres anterior. D'esta manera, s'incorpora a l'ordenament jurídic espanyol la Directiva (UE) 2016/1148 del Parlament Europeu i del Consell, de 6 de juliol de 2016, més coneguda com a Directiva NIS, que busca identificar els sectors en els quals s'ha de garantir la protecció de les xarxes i sistemes d'informació i establir les exigències de notificació de ciberincidentes.

L'objecte del Reial decret és “regular la seguretat de les xarxes i sistemes d'informació utilitzats per a la provisió dels servicis essencials i dels servicis digitals, i establir un sistema de notificació d'incidents”, al mateix temps que “establix un marc institucional per a la coordinació entre autoritats competents i amb els òrgans de cooperació rellevants en l'àmbit comunitari”.

Tot açò, tal com s'arreplega en el pròleg, “conscients del caràcter transversal i interconnectat de les tecnologies de la informació i de la comunicació (TIC)”, i de les seues amenaces i riscos, la qual cosa limita l'eficàcia de les mesures que s'empren per a contrarestar-los quan es prenen de manera aïllada.

Per tant, prosseguix el text, “és oportú establir mecanismes que, amb una perspectiva integral, permeten millorar la protecció enfront de les amenaces que afecten a les xarxes i sistemes d'informació, facilitant la coordinació de les actuacions realitzades en esta matèria tant a nivell nacional com amb els països del nostre entorn, en particular, dins de la Unió Europea”.

El CCN-CERT és coordinador nacional

L'article 11 d'este Reial decret arreplega tres CSIRT de referència, que es coordinaran entre si i amb la resta d'equips nacionals i internacionals en la resposta a incidents i gestió de riscos. Així, per al Sector públic el CSIRT de referència és el CCN-CERT (Obri en nova finestra) , del Centro Criptológico Nacional. Además, tal y como señala el RD, el CCN-CERT ejercerá la coordinación nacional de la respuesta técnica de los CSIRT.

Els altres dos CSIRT són l'INCIBE-CERT per a la comunitat que no pertanga al CCN-CERT, ciutadans i entitats de dret privat (operat conjuntament per l'INCIBE i el CNPIC en la gestió dels incidents que afecten als operadors crítics) i l'ESPDEF-CERT, del Comandament Conjunt de Ciberdefensa, que cooperarà amb els altres dos CSIRT en aquelles situacions que estos requerisquen en suport dels operadors de servicis essencials i, necessàriament, en aquells que tinguen incidència en la Defensa Nacional.

Autoritats competents

El document assenyala tres autoritats competents en matèria de seguretat (article 9):

Per als operadors de servicis essencials:

En el cas que estos siguen, a més, designats com a operadors crítics conforme a la Llei 8/2011, de 28 d'abril: la Secretaria d'Estat de Seguretat, del Ministeri de l'Interior, a través del Centre Nacional de Protecció d'Infraestructures i Ciberseguretat (CNPIC).

En el caso de que no sean operadores críticos: la autoridad sectorial correspondiente por razón de la materia, según se determine reglamentariamente.

Per als proveïdors de servicis digitals: la Secretaria d'Estat per a l'Avanç Digital, del Ministeri d'Economia i Empresa.
Per als operadors de servicis essencials i proveïdors de servicis digitals que no sent operadors crítics es troben compresos en l'àmbit d'aplicació de la Llei 40/2015, d'1 d'octubre, de Règim Jurídic del Sector Públic: el Ministeri de Defensa, a través de el Centre Criptològic Nacional.

Obligació de notificar incidents

El Real Decreto contempla la obligación de los operadores de servicios esenciales y los proveedores de servicios digitales (artículo 19) de notificar a la autoridad competente, a través del CSIRT de referencia, los incidentes que puedan tener efectos perturbadores significativos en dichos servicios e incluye aquellas notificaciones de sucesos o incidencias que aún no hayan tenido un efecto adverso real (peligrosidad potencial).

El text també assenyala que les autoritats competents i els CSIRT de referència utilitzaran una plataforma comuna per a facilitar i automatitzar els processos de notificació, comunicació i informació sobre incidents a manera de les funcionalitats que ja presenta la solució LUCIA (Obri en nova finestra) del CCN-CERT. Además, se detalla que los empleados y el personal que notifique sobre dichos incidentes “no podrá sufrir consecuencias adversas en su puesto de trabajo o con la empresa, salvo en los supuestos en que se acredite mala fe en su actuación”.

Els operadors de servicis essencials i els proveïdors de servicis digitals tenen l'obligació de resoldre els incidents de seguretat que els afecten, i de sol·licitar ajuda especialitzada, inclosa la del CSIRT de referència, quan no puguen resoldre per si mateixos els incidents.

Font original de la notícia (Obri en nova finestra) .

Seguretat i Protecció de Dades