accesskey_mod_content

Aprobado o Real Decreto Lei que traspón a Directiva europea de ciberseguridade

"Noticia dispoñible unicamente con fins históricos e de hemeroteca. A información e ligazóns mostradas correspóndense cos que estaban operativos á data da súa publicación. Non se garante que continúen activos actualmente".

14 setembro 2018

Logo CCN-CERT

O RDL 12/2018 sinala ao CCN-CERT como o Equipo de Resposta a Incidentes de Seguridade de referencia para o Sector público e como o coordinador nacional da resposta técnica nos supostos de especial gravidade e que requiran un nivel de coordinación superior.

Este sábado, 8 de setembro, o Boletín Oficial do Estado, BOE, publicou o  Real Decreto-lei 12/2018, do 7 de setembro(Abre en nova xanela) , de seguridade das redes e sistemas de información, despois de que fose aprobado en o Consello de Ministros do venres anterior. Deste xeito, incorpórase ao ordenamento xurídico español a Directiva (UE) 2016/1148 do Parlamento Europeo e do Consello, do 6 de xullo de 2016, máis coñecida como Directiva NIS, que busca identificar os sectores nos que se debe garantir a protección das redes e sistemas de información e establecer as esixencias de notificación de ciberincidentes.

O obxecto do Real Decreto é “regular a seguridade das redes e sistemas de información utilizados para a provisión dos servizos esenciais  e dos servizos dixitais, e establecer un sistema de notificación de incidentes”, á vez que “establece un marco institucional para a coordinación entre autoridades competentes e cos órganos de cooperación relevantes no ámbito comunitario”.

Todo iso, tal e como se recolle no prólogo, “conscientes do carácter transversal e interconectado das tecnoloxías da información e da comunicación (TIC)”, e das súas ameazas e riscos, o que limita a eficacia das medidas que se empregan para contrarrestalos cando se toman de modo illado. 

Por tanto, prosegue o texto, “é oportuno establecer mecanismos que, cunha perspectiva integral, permitan mellorar a protección fronte ás ameazas que afectan as redes e sistemas de información, facilitando a coordinación das actuacións realizadas nesta materia tanto a nivel nacional como cos países da nosa contorna, en particular, dentro da Unión Europea”.

O CCN-CERT é coordinador nacional

O artigo 11 deste Real Decreto recolle tres CSIRT de referencia, que se coordinarán entre si e co resto de equipos nacionais e internacionais na resposta a incidentes e xestión de riscos. Así, para o Sector público o CSIRT de referencia é o  CCN-CERT(Abre en nova xanela) , de o Centro Criptolóxico Nacional. Ademais, tal e como sinala o RD, o CCN-CERT exercerá a coordinación nacional da resposta técnica dos CSIRT.

Os outros dous CSIRT son o INCIBE-CERT para a comunidade que non pertenza ao CCN-CERT, cidadáns e entidades de dereito privado (operado conxuntamente polo INCIBE e o CNPIC na xestión dos incidentes que afecten os operadores críticos) e o ESPDEF-CERT, do Mando Conxunto de Ciberdefensa, que cooperará cos outros dous CSIRT naquelas situacións que estes requiran en apoio dos operadores de servizos esenciais e, necesariamente, naqueles que teñan incidencia na Defensa Nacional.

Autoridades competentes

O documento sinala tres autoridades competentes en materia de seguridade (artigo 9):

  • Para os operadores de servizos esenciais:

No caso de que estes sexan, ademais, designados como operadores críticos conforme á Lei 8/2011, do 28 de abril: a Secretaría de Estado de Seguridade, do Ministerio do Interior, a través do Centro Nacional de Protección de Infraestruturas e Ciberseguridade (CNPIC).

No caso de que non sexan operadores críticos: a autoridade sectorial correspondente por razón da materia, segundo determínese reglamentariamente.

  • Para os provedores de servizos dixitais: a Secretaría de Estado para o Avance Dixital, do Ministerio de Economía e Empresa.
  • Para os operadores de servizos esenciais e provedores de servizos dixitais que non sendo operadores críticos atópense comprendidos no ámbito de aplicación da Lei 40/2015, do 1 de outubro, de Réxime Xurídico do Sector Público: o Ministerio de Defensa, a través de o Centro Criptolóxico Nacional.

Obriga de notificar incidentes

O Real Decreto contempla a obriga dos operadores de servizos esenciais e os provedores de servizos dixitais (artigo 19) de notificar á autoridade competente, a través do CSIRT de referencia, os incidentes que poidan ter efectos perturbadores significativos nos este servizos e inclúe aquelas notificacións de sucesos ou incidencias que aínda non tivesen un efecto adverso real (perigo potencial).

O texto tamén sinala que as autoridades competentes e os CSIRT de referencia utilizarán unha plataforma común para facilitar e automatizar os procesos de notificación, comunicación e información sobre incidentes a modo das funcionalidades que xa presenta a solución  LUCIA(Abre en nova xanela)  do CCN-CERT. Ademais, detállase que os empregados e o persoal que notifique sobre os este incidentes “non poderá sufrir consecuencias adversas no seu posto de traballo ou coa empresa, salvo nos supostos en que se acredite mala fe na súa actuación”.

Os operadores de servizos esenciais e os provedores de servizos dixitais teñen a obriga de resolver os incidentes de seguridade que lles afecten, e de solicitar axuda especializada, incluída a do CSIRT de referencia, cando non poidan resolver por si mesmos os incidentes.

Fonte orixinal da noticia(Abre en nova xanela) .

  • Seguridade