Agencia Estatal Boletín Oficial del Estado

Ministerio de la Presidencia Agencia Estatal Boletín Oficial del Estado

Está Vd. en

Legislación consolidada

Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de informacin.

Publicado en: BOE núm. 218, de 08/09/2018.
Entrada en vigor: 09/09/2018
Departamento: Jefatura del Estado
Referencia: BOE-A-2018-12257
Permalink ELI: https://www.boe.es/eli/es/rdl/2018/09/07/12/con

TEXTO ORIGINAL: Texto original publicado el 08/09/2018


[Bloque 1: #pr]

I

La evolucin de las tecnologas de la informacin y de la comunicacin, especialmente con el desarrollo de Internet, ha hecho que las redes y sistemas de informacin desempeen actualmente un papel crucial en nuestra sociedad, siendo su fiabilidad y seguridad aspectos esenciales para el desarrollo normal de las actividades econmicas y sociales.

Por ello, los incidentes que, al afectar a las redes y sistemas de informacin, alteran dichas actividades, representan una grave amenaza, pues tanto si son fortuitos como si provienen de acciones deliberadas pueden generar prdidas financieras, menoscabar la confianza de la poblacin y, en definitiva, causar graves daos a la economa y a la sociedad, con la posibilidad de afectar a la propia seguridad nacional en la peor de las hiptesis.

El carcter transversal e interconectado de las tecnologas de la informacin y de la comunicacin, que tambin caracteriza a sus amenazas y riesgos, limita la eficacia de las medidas que se emplean para contrarrestarlos cuando se toman de modo aislado. Este carcter transversal tambin hace que se corra el riesgo de perder efectividad si los requisitos en materia de seguridad de la informacin se definen de forma independiente para cada uno de los mbitos sectoriales afectados.

Por tanto, es oportuno establecer mecanismos que, con una perspectiva integral, permitan mejorar la proteccin frente a las amenazas que afectan a las redes y sistemas de informacin, facilitando la coordinacin de las actuaciones realizadas en esta materia tanto a nivel nacional como con los pases de nuestro entorno, en particular, dentro de la Unin Europea.

II

Con este propsito se dicta este real decreto-ley, que transpone al ordenamiento jurdico espaol la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel comn de seguridad de las redes y sistemas de informacin en la Unin. El real decreto-ley se apoya igualmente en las normas, en los instrumentos de respuesta a incidentes y en los rganos de coordinacin estatal existentes en esta materia, lo que, junto a las razones sealadas en el apartado I, justifica que su contenido trascienda el de la propia Directiva.

El real decreto-ley se aplicar a las entidades que presten servicios esenciales para la comunidad y dependan de las redes y sistemas de informacin para el desarrollo de su actividad. Su mbito de aplicacin se extiende a sectores que no estn expresamente incluidos en la Directiva, para darle a este real decreto-ley un enfoque global, aunque se preserva su legislacin especfica. Adicionalmente, en el caso de las actividades de explotacin de las redes y de prestacin de servicios de comunicaciones electrnicas y los recursos asociados, as como de los servicios electrnicos de confianza, expresamente excluidos de dicha Directiva, el real decreto-ley se aplicar nicamente en lo que respecta a los operadores crticos.

El real decreto-ley se aplicar, as mismo, a los proveedores de determinados servicios digitales. La Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, los somete a un rgimen de armonizacin mxima, equivalente a un reglamento, pues se considera que su regulacin a escala nacional no sera efectiva por tener un carcter intrnsecamente transnacional. La funcin de las autoridades nacionales se limita, por tanto, a supervisar su aplicacin por los proveedores establecidos en su pas, y coordinarse con las autoridades correspondientes de otros pases de la Unin Europea.

Siguiendo la citada Directiva, el real decreto-ley identifica los sectores en los que es necesario garantizar la proteccin de las redes y sistemas de informacin, y establece procedimientos para identificar los servicios esenciales ofrecidos en dichos sectores, as como los principales operadores que prestan dichos servicios, que son, en definitiva, los destinatarios de este real decreto-ley.

Los operadores de servicios esenciales y los proveedores de servicios digitales debern adoptar medidas adecuadas para gestionar los riesgos que se planteen para la seguridad de las redes y sistemas de informacin que utilicen, aunque su gestin est externalizada. Las obligaciones de seguridad que asuman debern ser proporcionadas al nivel de riesgo que afronten y estar basadas en una evaluacin previa de los mismos. Las normas de desarrollo de este real decreto-ley podrn concretar las obligaciones de seguridad exigibles a los operadores de servicios esenciales, incluyendo en su caso las inspecciones a realizar o la participacin en actividades y ejercicios de gestin de crisis.

El real decreto-ley requiere as mismo que los operadores de servicios esenciales y los proveedores de servicios digitales notifiquen los incidentes que sufran en las redes y servicios de informacin que emplean para la prestacin de los servicios esenciales y digitales, y tengan efectos perturbadores significativos en los mismos, al tiempo que prev la notificacin de los sucesos o incidencias que puedan afectar a los servicios esenciales, pero que an no hayan tenido un efecto adverso real sobre aquellos, y perfila los procedimientos de notificacin.

La notificacin de incidentes forma parte de la cultura de gestin de riesgos que la Directiva y el real decreto-ley fomentan. Por ello, el real decreto-ley protege a la entidad notificante y al personal que informe sobre incidentes ocurridos; se reserva la informacin confidencial de su divulgacin al pblico o a otras autoridades distintas de la notificada y se permite la notificacin de incidentes cuando no sea obligada su comunicacin.

El real decreto-ley recalca la necesidad de tener en cuenta los estndares europeos e internacionales, as como las recomendaciones que emanen del grupo de cooperacin y de la red de CSIRT (Computer Security Incident Response Team) establecidos en el mbito comunitario por la Directiva, con vistas a aplicar las mejores prcticas aprendidas en estos foros y contribuir al impulso del mercado interior y a la participacin de nuestras empresas en l.

Con el fin de aumentar su eficacia y, al tiempo, reducir las cargas administrativas y econmicas que estas obligaciones suponen para las entidades afectadas, este real decreto-ley trata de garantizar su coherencia con las que se derivan de la aplicacin de otras normativas en materia de seguridad de la informacin, tanto de carcter horizontal como sectorial, y la coordinacin en su aplicacin con las autoridades responsables en cada caso.

Respecto a las normas horizontales, destacan los vnculos establecidos con las Leyes 8/2011, de 28 de abril, por la que se establecen medidas para la proteccin de las infraestructuras crticas, y 36/2015, de 28 de septiembre, de Seguridad Nacional, y con el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el mbito de la Administracin Electrnica, como normativa especial en materia de seguridad de los sistemas de informacin del sector pblico.

As, se aproxima el mbito de aplicacin de este real decreto-ley al de la Ley 8/2011, de 28 de abril, aadiendo a los sectores previstos por la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, los sectores estratgicos adicionales contemplados en esa ley; se apoya en ella para definir el concepto de servicio esencial, y se atribuye a sus rganos colegiados la determinacin de los servicios esenciales y de los operadores de servicios esenciales sujetos al presente real decreto-ley. Teniendo en cuenta la Ley 36/2015, de 28 de septiembre, se atribuye al Consejo de Seguridad Nacional la funcin de actuar como punto de contacto con otros pases de la Unin Europea y un papel coordinador de la poltica de ciberseguridad a travs de la Estrategia de Ciberseguridad Nacional.

III

La Estrategia de Ciberseguridad Nacional con la que Espaa cuenta desde el ao 2013, sienta las prioridades, objetivos y medidas adecuadas para alcanzar y mantener un elevado nivel de seguridad de las redes y sistemas de informacin. Dicha Estrategia seguir desarrollando el marco institucional de la ciberseguridad que este real decreto-ley esboza, compuesto por las autoridades pblicas competentes y los CSIRT de referencia, por una parte, y la cooperacin pblico-privada, por otra.

Las autoridades competentes ejercern las funciones de vigilancia derivadas de este real decreto-ley y aplicarn el rgimen sancionador cuando proceda. As mismo, promovern el desarrollo de las obligaciones que el real decreto-ley impone, en consulta con el sector y con las autoridades que ejerzan competencias por razn de la materia cuando se refieran a sectores especficos, para evitar la existencia de obligaciones duplicadas, innecesarias o excesivamente onerosas.

Los CSIRT son los equipos de respuesta a incidentes que analizan riesgos y supervisan incidentes a escala nacional, difunden alertas sobre ellos y aportan soluciones para mitigar sus efectos. El trmino CSIRT es el usado comnmente en Europa en lugar del trmino protegido CERT (Computer Emergency Response Team), registrado en EE.UU.

El real decreto-ley delimita el mbito funcional de actuacin de los CSIRT de referencia previstos en ella. Dichos CSIRT son la puerta de entrada de las notificaciones de incidentes, lo que permitir organizar rpidamente la respuesta a ellos, pero el destinatario de las notificaciones es la autoridad competente respectiva, que tendr en cuenta esta informacin para la supervisin de los operadores. En todo caso, el operador es responsable de resolver los incidentes y reponer las redes y sistemas de informacin afectados a su funcionamiento ordinario.

Se prev la utilizacin de una plataforma comn para la notificacin de incidentes, de tal manera que los operadores no deban efectuar varias notificaciones en funcin de la autoridad a la que deban dirigirse. Esta plataforma podr ser empleada tambin para la notificacin de vulneraciones de la seguridad de datos personales segn el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la proteccin de las personas fsicas en lo que respecta al tratamiento de datos personales y a la libre circulacin de estos datos y por el que se deroga la Directiva 95/46/CE.

IV

Este real decreto-ley consta de siete ttulos que contienen, en primer lugar, las definiciones de los trminos que se usan a lo largo del texto, la salvaguarda de funciones estatales esenciales, como la seguridad nacional y otras disposiciones generales. A continuacin, en el ttulo II se determina la forma y criterios de identificacin de los servicios esenciales y de los operadores que los presten a los que se aplicar el real decreto-ley. El orden en que se proceder a su identificacin por primera vez se establece en la disposicin adicional primera del real decreto-ley. El ttulo III recoge el marco estratgico e institucional de la seguridad de las redes y sistemas de informacin que se ha descrito anteriormente. Se dedica un precepto especfico a la cooperacin entre autoridades pblicas, como pilar de un ejercicio adecuado de las diferentes competencias concurrentes sobre la materia.

El ttulo IV se ocupa de las obligaciones de seguridad de los operadores, y en l se prev la aplicacin preferente de normas sectoriales que impongan obligaciones equivalentes a las previstas en este real decreto-ley, sin perjuicio de la coordinacin ejercida por el Consejo de Seguridad Nacional y del deber de cooperacin con las autoridades competentes en virtud de este real decreto-ley.

En el ttulo V, el ms extenso, se regula la notificacin de incidentes y se presta atencin a los incidentes con impacto transfronterizo y a la informacin y coordinacin con otros Estados de la Unin Europea para su gestin. En el ttulo VI, se disponen las potestades de inspeccin y control de las autoridades competentes y la cooperacin con las autoridades nacionales de otros Estados miembros, y en el ttulo VII se tipifican las infracciones y sanciones de este real decreto-ley. En este aspecto, el real decreto-ley se decanta por impulsar la subsanacin de la infraccin antes que su castigo, el cual, si es necesario dispensarlo, ser efectivo, proporcionado y disuasorio, en lnea con lo ordenado por la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016.

El real decreto-ley se cierra con una parte final que incluye las disposiciones adicionales y finales necesarias para completar la regulacin.

Esta disposicin ha sido sometida al procedimiento de informacin de normas reglamentarias tcnicas y de reglamentos relativos a los servicios de la sociedad de la informacin, previsto en la Directiva (UE) 2015/1535 del Parlamento Europeo y del Consejo, de 9 de septiembre de 2015, por la que se establece un procedimiento de informacin en materia de reglamentaciones tcnicas y de reglas relativas a los servicios de la sociedad de la informacin, as como el Real Decreto 1337/1999, de 31 de julio, por el que se regula la remisin de informacin en materia de normas y reglamentaciones tcnicas y reglamentos relativos a los servicios de la sociedad de la informacin. As mismo, se adeca a los principios de buena regulacin establecidos en el artculo 129 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Comn de las Administraciones Pblicas, conforme a los cuales deben actuar las Administraciones Pblicas en el ejercicio de la iniciativa legislativa, como son los principios de necesidad, eficacia, proporcionalidad, seguridad jurdica, transparencia y eficiencia.

Este real decreto-ley se dicta en virtud de las competencias exclusivas atribuidas al Estado en materia de rgimen general de telecomunicaciones y seguridad pblica por el artculo 149.1.21. y 29. de la Constitucin.

El real decreto-ley constituye un instrumento constitucionalmente lcito, siempre que el fin que justifica la legislacin de urgencia, sea, tal como reiteradamente ha exigido nuestro Tribunal Constitucional (Sentencias 6/1983, de 4 de febrero, F. 5; 11/2002, de 17 de enero, F. 4, 137/2003, de 3 de julio, F. 3 y 189/2005, de 7 julio, F.3), subvenir a un situacin concreta, dentro de los objetivos gubernamentales, que por razones difciles de prever requiere una accin normativa inmediata en un plazo ms breve que el requerido por la va normal o por el procedimiento de urgencia para la tramitacin parlamentaria de las Leyes.

Por otro lado, la utilizacin del instrumento jurdico del real decreto-ley, en el presente caso, adems queda justificada por la doctrina del Tribunal Constitucional, que, en su Sentencia 1/2012, de 13 de enero, ha avalado la concurrencia del presupuesto habilitante de la extraordinaria y urgente necesidad del artculo 86.1 de la Constitucin, cuando concurra el retraso en la transposicin de directivas.

En efecto, el plazo de transposicin de la mencionada Directiva (UE) 2016/1148, del Parlamento Europeo y del Consejo, de 6 de julio de 2016, se encuentra ya vencido a 9 de mayo de 2018. La finalizacin del plazo de transposicin de esta Directiva ha motivado la iniciacin por parte de la Comisin Europea de un procedimiento formal de infraccin n. 2018/168.

En consecuencia, se entiende que en el conjunto y en cada una de las medidas que se adoptan mediante el real decreto-ley proyectado, concurren, por su naturaleza y finalidad, las circunstancias de extraordinaria y urgente necesidad que exige el artculo 86 de la Constitucin como presupuestos habilitantes para la aprobacin de un real decreto-ley.

En su virtud, haciendo uso de la autorizacin contenida en el artculo 86 de la Constitucin Espaola, a propuesta de la Vicepresidenta del Gobierno y Ministra de la Presidencia, Relaciones con las Cortes e Igualdad, del Ministro del Interior y de la Ministra de Economa y Empresa y previa deliberacin del Consejo de Ministros, en su reunin del da 7 de septiembre de 2018,

DISPONGO:


[Bloque 2: #ti]

TTULO I

Disposiciones generales


[Bloque 3: #a1]

Artculo 1. Objeto.

1. El presente real decreto-ley tiene por objeto regular la seguridad de las redes y sistemas de informacin utilizados para la provisin de los servicios esenciales y de los servicios digitales, y establecer un sistema de notificacin de incidentes.

2. As mismo, establece un marco institucional para la aplicacin de este real decreto-ley y la coordinacin entre autoridades competentes y con los rganos de cooperacin relevantes en el mbito comunitario.


[Bloque 4: #a2]

Artculo 2. mbito de aplicacin.

1. Este real decreto-ley se aplicar a la prestacin de:

a) Los servicios esenciales dependientes de las redes y sistemas de informacin comprendidos en los sectores estratgicos definidos en el anexo de la Ley 8/2011, de 28 de abril, por la que se establecen medidas para la proteccin de las infraestructuras crticas.

b) Los servicios digitales, considerados conforme se determina en el artculo 3 e), que sean mercados en lnea, motores de bsqueda en lnea y servicios de computacin en nube.

2. Estarn sometidos a este real decreto-ley:

a) Los operadores de servicios esenciales establecidos en Espaa. Se entender que un operador de servicios esenciales est establecido en Espaa cuando su residencia o domicilio social se encuentren en territorio espaol, siempre que stos coincidan con el lugar en que est efectivamente centralizada la gestin administrativa y la direccin de sus negocios o actividades.

As mismo, este real decreto-ley ser de aplicacin a los servicios esenciales que los operadores residentes o domiciliados en otro Estado ofrezcan a travs de un establecimiento permanente situado en Espaa.

b) Los proveedores de servicios digitales que tengan su sede social en Espaa y que constituya su establecimiento principal en la Unin Europea, as como los que, no estando establecidos en la Unin Europea, designen en Espaa a su representante en la Unin para el cumplimiento de la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel comn de seguridad de las redes y sistemas de informacin en la Unin.

3. Este real decreto-ley no se aplicar a:

a) Los operadores de redes y servicios de comunicaciones electrnicas y los prestadores de servicios electrnicos de confianza que no sean designados como operadores crticos en virtud de la Ley 8/2011, de 28 de abril.

b) Los proveedores de servicios digitales cuando se trate de microempresas o pequeas empresas, de acuerdo con las definiciones recogidas en la Recomendacin 2003/361/CE de la Comisin, de 6 de mayo de 2003, sobre la definicin de microempresas, pequeas y medianas empresas.


[Bloque 5: #a3]

Artculo 3. Definiciones.

A los efectos de este real decreto-ley, se entender por:

a) Redes y sistemas de informacin, cualquiera de los elementos siguientes:

1. Las redes de comunicaciones electrnicas, tal y como vienen definidas en el nmero 31 del anexo II de la Ley 9/2014, de 9 de mayo, General de Telecomunicaciones;

2. Todo dispositivo o grupo de dispositivos interconectados o relacionados entre s, en el que uno o varios de ellos realicen, mediante un programa, el tratamiento automtico de datos digitales;

3. Los datos digitales almacenados, tratados, recuperados o transmitidos mediante los elementos contemplados en los nmeros 1. y 2. anteriores, incluidos los necesarios para el funcionamiento, utilizacin, proteccin y mantenimiento de dichos elementos.

b) Seguridad de las redes y sistemas de informacin: la capacidad de las redes y sistemas de informacin de resistir, con un nivel determinado de fiabilidad, toda accin que comprometa la disponibilidad, autenticidad, integridad o confidencialidad de los datos almacenados, transmitidos o tratados, o los servicios correspondientes ofrecidos por tales redes y sistemas de informacin o accesibles a travs de ellos.

c) Servicio esencial: servicio necesario para el mantenimiento de las funciones sociales bsicas, la salud, la seguridad, el bienestar social y econmico de los ciudadanos, o el eficaz funcionamiento de las Instituciones del Estado y las Administraciones Pblicas, que dependa para su provisin de redes y sistemas de informacin.

d) Operador de servicios esenciales: entidad pblica o privada que se identifique considerando los factores establecidos en el artculo 6 de este real decreto-ley, que preste dichos servicios en alguno de los sectores estratgicos definidos en el anexo de la Ley 8/2011, de 28 de abril.

e) Servicio digital: servicio de la sociedad de la informacin entendido en el sentido recogido en la letra a) del anexo de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la informacin y de comercio electrnico.

f) Proveedor de servicios digitales: persona jurdica que presta un servicio digital.

g) Riesgo: toda circunstancia o hecho razonablemente identificable que tenga un posible efecto adverso en la seguridad de las redes y sistemas de informacin. Se puede cuantificar como la probabilidad de materializacin de una amenaza que produzca un impacto en trminos de operatividad, de integridad fsica de personas o material o de imagen.

h) Incidente: suceso inesperado o no deseado con consecuencias en detrimento de la seguridad de las redes y sistemas de informacin.

i) Gestin de incidentes: procedimientos seguidos para detectar, analizar y limitar un incidente y responder ante ste.

j) Representante: persona fsica o jurdica establecida en la Unin Europea que ha sido designada expresamente para actuar por cuenta de un proveedor de servicios digitales no establecido en la Unin Europea, a la que, en sustitucin del proveedor de servicios digitales, pueda dirigirse una autoridad competente nacional o un CSIRT, en relacin con las obligaciones que, en virtud de este real decreto-ley, tiene el proveedor de servicios digitales.

k) Norma tcnica: una norma en el sentido del artculo 2.1 del Reglamento (UE) n.1025/2012 del Parlamento Europeo y del Consejo, de 25de octubre de 2012, sobre la normalizacin europea.

l) Especificacin: una especificacin tcnica en el sentido del artculo 2.4 del Reglamento (UE) n.1025/2012 del Parlamento Europeo y del Consejo, de 25de octubre de 2012.

m) Punto de intercambio de Internet (IXP, por sus siglas en ingls de Internet eXchange Point): una instalacin de red que permite interconectar ms de dos sistemas autnomos independientes, principalmente para facilitar el intercambio de trfico de Internet. Un IXP permite interconectar sistemas autnomos sin requerir que el trfico de Internet que pasa entre cualquier par de sistemas autnomos participantes pase por un tercer sistema autnomo, y sin modificar ni interferir de otra forma en dicho trfico.

n) Sistema de nombres de dominio (DNS, por sus siglas en ingls de Domain Name System): sistema distribuido jerrquicamente que responde a consultas proporcionando informacin asociada a nombres de dominio, en particular, la relativa a los identificadores utilizados para localizar y direccionar equipos en Internet.

o) Proveedor de servicios de DNS: entidad que presta servicios de DNS en Internet.

p) Registro de nombres de dominio de primer nivel: entidad que administra y dirige el registro de nombres de dominio de Internet en un dominio especfico de primer nivel.

q) Mercado en lnea: servicio digital que permite a los consumidores y a los empresarios, tal y como se definen respectivamente en los artculos 3 y 4 del texto refundido de la Ley General para la Defensa de los Consumidores y Usuarios y otras leyes complementarias, aprobado mediante el Real Decreto Legislativo 1/2007, de 16 de noviembre, celebrar entre s contratos de compraventa o de prestacin de servicios en lnea con empresarios, ya sea en un sitio web especfico del servicio de mercado en lnea, o en un sitio web de un empresario que utilice servicios informticos proporcionados al efecto por el proveedor del servicio de mercado en lnea.

r) Motor de bsqueda en lnea: servicio digital que permite a los usuarios hacer bsquedas de, en principio, todos los sitios web o de sitios web en una lengua en concreto, mediante una consulta sobre un tema en forma de palabra clave, frase u otro tipo de entrada, y que, en respuesta, muestra enlaces en los que puede encontrarse informacin relacionada con el contenido solicitado.

s) Servicio de computacin en nube: servicio digital que hace posible el acceso a un conjunto modulable y elstico de recursos de computacin que se pueden compartir.


[Bloque 6: #a4]

Artculo 4. Directrices y orientaciones comunitarias.

En la aplicacin de este real decreto-ley y en la elaboracin de los reglamentos y guas previstos en l se tendrn en cuenta los actos de ejecucin de la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, as como todas las recomendaciones y directrices emanadas del grupo de cooperacin establecido por el artculo 11 de la citada Directiva, y la informacin sobre buenas prcticas recopiladas por dicho grupo y la red de CSIRT, regulado en el artculo 12 de aqulla.


[Bloque 7: #a5]

Artculo 5. Salvaguarda de funciones estatales esenciales.

Lo dispuesto en este real decreto-ley se entender sin perjuicio de las acciones emprendidas para salvaguardar la seguridad nacional y las funciones estatales esenciales, incluyndose las dirigidas a proteger la informacin clasificada o cuya revelacin fuere contraria a los intereses esenciales del Estado, o las que tengan como propsito el mantenimiento del orden pblico, la deteccin, investigacin y persecucin de los delitos, y el enjuiciamiento de sus autores.


[Bloque 8: #ti-2]

TTULO II

Servicios esenciales y servicios digitales


[Bloque 9: #a6]

Artculo 6. Identificacin de servicios esenciales y de operadores de servicios esenciales.

1. La identificacin de los servicios esenciales y de los operadores que los presten se efectuar por los rganos y procedimientos previstos por la Ley 8/2011, de 28 de abril, y su normativa de desarrollo.

La relacin de los servicios esenciales y de los operadores de dichos servicios se actualizar, para cada sector, con una frecuencia bienal, en conjuncin con la revisin de los planes estratgicos sectoriales previstos en la Ley 8/2011, de 28 de abril.

Se identificar a un operador como operador de servicios esenciales si un incidente sufrido por el operador puede llegar a tener efectos perturbadores significativos en la prestacin del servicio, para lo que se tendrn en cuenta, al menos, los siguientes factores:

a) En relacin con la importancia del servicio prestado:

1. La disponibilidad de alternativas para mantener un nivel suficiente de prestacin del servicio esencial;

2. La valoracin del impacto de un incidente en la provisin del servicio, evaluando la extensin o zonas geogrficas que podran verse afectadas por el incidente; la dependencia de otros sectores estratgicos respecto del servicio esencial ofrecido por la entidad y la repercusin, en trminos de grado y duracin, del incidente en las actividades econmicas y sociales o en la seguridad pblica.

b) En relacin con los clientes de la entidad evaluada:

1. El nmero de usuarios que confan en los servicios prestados por ella;

2. Su cuota de mercado.

Reglamentariamente podrn aadirse factores especficos del sector para determinar si un incidente podra tener efectos perturbadores significativos.

2. En el caso de tratarse de un operador crtico designado en cumplimiento de la Ley 8/2011, de 28 de abril, bastar con que se constate su dependencia de las redes y sistemas de informacin para la provisin del servicio esencial de que se trate.

3. En la identificacin de los servicios esenciales y de los operadores de servicios esenciales se tendrn en consideracin, en la mayor medida posible, las recomendaciones pertinentes que adopte el grupo de cooperacin.

4. Cuando un operador de servicios esenciales ofrezca servicios en otros Estados miembros de la Unin Europea, se informar a los puntos de contacto nico de dichos Estados sobre la intencin de identificarlo como operador de servicios esenciales.


[Bloque 10: #a7]

Artculo 7. Comunicacin de actividad por los proveedores de servicios digitales.

Los proveedores de servicios digitales sealados en el artculo 2 debern comunicar su actividad a la autoridad competente en el plazo de tres meses desde que la inicien, a los meros efectos de su conocimiento.


[Bloque 11: #ti-3]

TTULO III

Marco estratgico e institucional


[Bloque 12: #a8]

Artculo 8. Marco estratgico de seguridad de las redes y sistemas de informacin.

La Estrategia de Ciberseguridad Nacional, al amparo y alineada con la Estrategia de Seguridad Nacional, enmarca los objetivos y las medidas para alcanzar y mantener un elevado nivel de seguridad de las redes y sistemas de informacin.

La Estrategia de Ciberseguridad Nacional abordar, entre otras cuestiones, las establecidas en el artculo 7 de la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016.

A tal efecto, el Consejo de Seguridad Nacional impulsar la revisin de la Estrategia de Ciberseguridad Nacional, de conformidad con lo dispuesto en el artculo 21.1 e) de la Ley 36/2015, de 28 de septiembre, de Seguridad Nacional.


[Bloque 13: #a9]

Artculo 9. Autoridades competentes.

1. Son autoridades competentes en materia de seguridad de las redes y sistemas de informacin las siguientes:

a) Para los operadores de servicios esenciales:

1. En el caso de que stos sean, adems, designados como operadores crticos conforme a la Ley 8/2011, de 28 de abril, y su normativa de desarrollo, con independencia del sector estratgico en que se realice tal designacin: la Secretara de Estado de Seguridad, del Ministerio del Interior, a travs del Centro Nacional de Proteccin de Infraestructuras y Ciberseguridad (CNPIC).

2. En el caso de que no sean operadores crticos: la autoridad sectorial correspondiente por razn de la materia, segn se determine reglamentariamente.

b) Para los proveedores de servicios digitales: la Secretara de Estado para el Avance Digital, del Ministerio de Economa y Empresa.

c) Para los operadores de servicios esenciales y proveedores de servicios digitales que no siendo operadores crticos se encuentren comprendidos en el mbito de aplicacin de la Ley 40/2015, de 1 de octubre, de Rgimen Jurdico del Sector Pblico: el Ministerio de Defensa, a travs del Centro Criptolgico Nacional.

2. El Consejo de Seguridad Nacional, a travs de su comit especializado en materia de ciberseguridad, establecer los mecanismos necesarios para la coordinacin de las actuaciones de las autoridades competentes.


[Bloque 14: #a1-2]

Artculo 10. Funciones de las autoridades competentes.

Las autoridades competentes ejercern las siguientes funciones:

a) Supervisar el cumplimiento por parte de los operadores de servicios esenciales y de los proveedores de servicios digitales de las obligaciones que se determinen, conforme a lo establecido en el ttulo VI.

b) Establecer canales de comunicacin oportunos con los operadores de servicios esenciales y con los proveedores de servicios digitales que, en su caso, sern desarrollados reglamentariamente.

c) Coordinarse con los CSIRT de referencia a travs de los protocolos de actuacin que, en su caso, se desarrollarn reglamentariamente.

d) Recibir las notificaciones sobre incidentes que sean presentadas en el marco de este real decreto-ley, a travs de los CSIRT de referencia, conforme a lo establecido en el ttulo V.

e) Informar al punto de contacto nico sobre las notificaciones de incidentes presentadas en el marco de este real decreto-ley, conforme a lo establecido en el artculo 27.

f) Informar, en su caso, al pblico sobre determinados incidentes, cuando la difusin de dicha informacin sea necesaria para evitar un incidente o gestionar uno que ya se haya producido, conforme a lo establecido en el artculo 26.

g) Cooperar, en el mbito de aplicacin de este real decreto-ley, con las autoridades competentes en materia de proteccin de datos de carcter personal, seguridad pblica, seguridad ciudadana y seguridad nacional, as como con las autoridades sectoriales correspondientes, conforme a lo establecido en los artculos 14 y 29.

h) Establecer obligaciones especficas para garantizar la seguridad de las redes y sistemas de informacin y sobre notificacin de incidentes, y dictar instrucciones tcnicas y guas orientativas para detallar el contenido de dichas obligaciones, conforme a lo establecido en los artculos 16 y 19.

i) Ejercer la potestad sancionadora en los casos previstos en el presente real decreto-ley, conforme a lo establecido en el ttulo VII.

j) Promover el uso de normas y especificaciones tcnicas, de acuerdo con lo establecido en el artculo 17.

k) Cooperar con las autoridades competentes de otros Estados miembros de la Unin Europea en la identificacin de operadores de servicios esenciales entre entidades que ofrezcan dichos servicios en varios Estados miembros.

l) Informar al punto de contacto nico sobre incidentes que puedan afectar a otros Estados miembros, en los trminos previstos en el artculo 25.


[Bloque 15: #a1-3]

Artculo 11. Equipos de respuesta a incidentes de seguridad informtica de referencia.

1. Son equipos de respuesta a incidentes de seguridad informtica (CSIRT) de referencia en materia de seguridad de las redes y sistemas de informacin, los siguientes:

a) En lo concerniente a las relaciones con los operadores de servicios esenciales:

1. El CCN-CERT, del Centro Criptolgico Nacional, al que corresponde la comunidad de referencia constituida por las entidades del mbito subjetivo de aplicacin de la Ley 40/2015, de 1 de octubre.

2. El INCIBE-CERT, del Instituto Nacional de Ciberseguridad de Espaa, al que corresponde la comunidad de referencia constituida por aquellas entidades no incluidas en el mbito subjetivo de aplicacin de la Ley 40/2015, de 1 de octubre.

El INCIBE-CERT ser operado conjuntamente por el INCIBE y el CNPIC en todo lo que se refiera a la gestin de incidentes que afecten a los operadores crticos.

3. El ESPDEF-CERT, del Ministerio de Defensa, que cooperar con el CCN-CERT y el INCIBE-CERT en aquellas situaciones que stos requieran en apoyo de los operadores de servicios esenciales y, necesariamente, en aquellos operadores que tengan incidencia en la Defensa Nacional y que reglamentariamente se determinen.

b) En lo concerniente a las relaciones con los proveedores de servicios digitales que no estuvieren comprendidos en la comunidad de referencia del CCN-CERT: el INCIBE-CERT.

El INCIBE-CERT ser, as mismo, equipo de respuesta a incidentes de referencia para los ciudadanos, entidades de derecho privado y otras entidades no incluidas anteriormente en este apartado 1.

2. Los CSIRT de referencia se coordinarn entre s y con el resto de CSIRT nacionales e internacionales en la respuesta a los incidentes y gestin de riesgos de seguridad que les correspondan. En los supuestos de especial gravedad que reglamentariamente se determinen y que requieran un nivel de coordinacin superior al necesario en situaciones ordinarias, el CCN-CERT ejercer la coordinacin nacional de la respuesta tcnica de los CSIRT.

Cuando las actividades que desarrollen puedan afectar de alguna manera a un operador crtico, los CSIRT de referencia se coordinarn con el Ministerio del Interior, a travs de la Oficina de Coordinacin Ciberntica del Centro Nacional de Proteccin de Infraestructuras y Ciberseguridad (CNPIC), de la forma que reglamentariamente se determine.


[Bloque 16: #a1-4]

Artculo 12. Requisitos y funciones de los CSIRT de referencia.

1. Los CSIRT debern reunir las siguientes condiciones:

a) Garantizarn un elevado nivel de disponibilidad de sus servicios de comunicaciones evitando los fallos ocasionales y contarn con varios medios para que se les pueda contactar y puedan contactar a otros en todo momento. Adems, los canales de comunicacin estarn claramente especificados y sern bien conocidos de los grupos de usuarios y los socios colaboradores.

b) Sus instalaciones y las de los sistemas de informacin de apoyo estarn situados en lugares seguros.

c) Garantizarn la continuidad de las actividades. Para ello:

1. Estarn dotados de un sistema adecuado para gestionar y canalizar las solicitudes con el fin de facilitar los traspasos.

2. Contarn con personal suficiente para garantizar su disponibilidad en todo momento.

3. Tendrn acceso a infraestructuras de comunicacin cuya continuidad est asegurada. A tal fin, dispondrn de sistemas redundantes y espacios de trabajo de reserva.

d) Debern tener la capacidad de participar, cuando lo deseen, en redes de cooperacin internacional.

2. Los CSIRT desempearn como mnimo, las siguientes funciones:

a) Supervisar incidentes a escala nacional.

b) Difundir alertas tempranas, alertas, avisos e informacin sobre riesgos e incidentes entre los interesados.

c) Responder a incidentes.

d) Efectuar un anlisis dinmico de riesgos e incidentes y de conocimiento de la situacin.

e) Participar en la red de CSIRT.

3. Los CSIRT establecern relaciones de cooperacin con el sector privado. A fin de facilitar la cooperacin, los CSIRT fomentarn la adopcin y utilizacin de prcticas comunes o normalizadas de:

a) Procedimientos de gestin de incidentes y riesgos.

b) Sistemas de clasificacin de incidentes, riesgos e informacin.


[Bloque 17: #a1-5]

Artculo 13. Punto de contacto nico.

El Consejo de Seguridad Nacional ejercer, a travs del Departamento de Seguridad Nacional, una funcin de enlace para garantizar la cooperacin transfronteriza de las autoridades competentes designadas conforme al artculo 9, con las autoridades competentes de otros Estados miembros de la Unin Europea, as como con el grupo de cooperacin y la red de CSIRT.


[Bloque 18: #a1-6]

Artculo 14. Cooperacin con otras autoridades con competencias en seguridad de la informacin y con las autoridades sectoriales.

1. Las autoridades competentes, los CSIRT de referencia y el punto de contacto nico consultarn, cuando proceda, con los rganos con competencias en materia de seguridad nacional, seguridad pblica, seguridad ciudadana y proteccin de datos de carcter personal y colaborarn con ellas en el ejercicio de sus respectivas funciones.

2. Consultarn as mismo, cuando proceda, con los rganos con competencias por razn de la materia en cada uno de los sectores incluidos en el mbito de aplicacin de este real decreto-ley, y colaborarn con ellos en el ejercicio de sus funciones.

3. Cuando los incidentes notificados presenten caracteres de delito, las autoridades competentes y los CSIRT de referencia darn cuenta de ello, a travs de la Oficina de Coordinacin Ciberntica del Ministerio del Interior, al Ministerio Fiscal a los efectos oportunos, trasladndole al tiempo cuanta informacin posean en relacin con ello.


[Bloque 19: #a1-7]

Artculo 15. Confidencialidad de la informacin sensible.

Sin perjuicio de lo dispuesto en el artculo 5, las autoridades competentes, los CSIRT de referencia y el punto de contacto nico preservarn, como corresponda en Derecho, la seguridad y los intereses comerciales de los operadores de servicios esenciales y proveedores de servicios digitales, as como la confidencialidad de la informacin que recaben de stos en el ejercicio de las funciones que les encomienda el presente real decreto-ley.

Cuando ello sea necesario, el intercambio de informacin sensible se limitar a aquella que sea pertinente y proporcionada para la finalidad de dicho intercambio.


[Bloque 20: #ti-4]

TTULO IV

Obligaciones de seguridad


[Bloque 21: #a1-8]

Artculo 16. Obligaciones de seguridad de los operadores de servicios esenciales y de los proveedores de servicios digitales.

1. Los operadores de servicios esenciales y los proveedores de servicios digitales debern adoptar medidas tcnicas y de organizacin, adecuadas y proporcionadas, para gestionar los riesgos que se planteen para la seguridad de las redes y sistemas de informacin utilizados en la prestacin de los servicios sujetos a este real decreto-ley.

Sin perjuicio de su deber de notificar incidentes conforme al ttulo V, debern tomar medidas adecuadas para prevenir y reducir al mnimo el impacto de los incidentes que les afecten.

2. El desarrollo reglamentario de este real decreto-ley prever las medidas necesarias para el cumplimiento de lo preceptuado en el apartado anterior por parte de los operadores de servicios esenciales.

3. Los operadores de servicios esenciales designarn y comunicarn a la autoridad competente, en el plazo que reglamentariamente se establezca, la persona, unidad u rgano colegiado responsable de la seguridad de la informacin, como punto de contacto y de coordinacin tcnica con aquella.

Sus funciones especficas sern las previstas reglamentariamente.

4. Las autoridades competentes podrn establecer mediante Orden ministerial obligaciones especficas para garantizar la seguridad de las redes y sistemas de informacin empleados por los operadores de servicios esenciales. As mismo, podrn dictar instrucciones tcnicas y guas orientativas para detallar el contenido de dichas rdenes.

Al elaborar las disposiciones reglamentarias, instrucciones y guas, tendrn en cuenta las obligaciones sectoriales, las directrices relevantes que se adopten en el grupo de cooperacin y los requisitos en materia de seguridad de la informacin, a las que estuviera sometido el operador en virtud de otras normas, como la Ley 8/2011, de 28 de abril, y el Esquema Nacional de Seguridad, aprobado por el Real Decreto 3/2010, de 8 de enero.

5. Las autoridades competentes debern coordinarse entre s y con los diferentes rganos sectoriales con competencias por razn de la materia, en lo relativo al contenido y a la aplicacin de las rdenes, instrucciones tcnicas y guas orientativas que dicten en sus respectivos mbitos de competencia, con objeto de evitar duplicidades en las obligaciones exigibles y facilitar su cumplimiento a los operadores de servicios esenciales.

6. Los proveedores de servicios digitales determinarn las medidas de seguridad que aplicarn, teniendo en cuenta, como mnimo, los avances tcnicos y los siguientes aspectos:

a) La seguridad de los sistemas e instalaciones;

b) La gestin de incidentes;

c) La gestin de la continuidad de las actividades;

d) La supervisin, auditoras y pruebas;

e) El cumplimiento de las normas internacionales.

Los proveedores de servicios digitales atendern igualmente a los actos de ejecucin por los que la Comisin europea detalle los aspectos citados.


[Bloque 22: #a1-9]

Artculo 17. Normas tcnicas.

Las autoridades competentes promovern la utilizacin de regulaciones, normas o especificaciones tcnicas en materia de seguridad de las redes y sistemas de informacin elaboradas en el marco del Reglamento (UE) 1025/2012 del Parlamento Europeo y del Consejo de 25 de octubre de 2012 sobre la normalizacin europea.

En ausencia de dichas normas o especificaciones, promovern la aplicacin de las normas o recomendaciones internacionales aprobadas por los organismos internacionales de normalizacin, y, en su caso, de las normas y especificaciones tcnicas aceptadas a nivel europeo o internacional que sean pertinentes en esta materia.


[Bloque 23: #a1-10]

Artculo 18. Sectores con normativa especfica equivalente.

Cuando una normativa nacional o comunitaria establezca para un sector obligaciones de seguridad de las redes y sistemas de informacin o de notificacin de incidentes que tengan efectos, al menos, equivalentes a los de las obligaciones previstas en este real decreto-ley, prevalecern aquellos requisitos y los mecanismos de supervisin correspondientes.

Ello no afectar al deber de cooperacin entre autoridades competentes, a la coordinacin ejercida por el Consejo de Seguridad Nacional ni, en la medida en que no sea incompatible con la legislacin sectorial, a la aplicacin del ttulo V sobre notificacin de incidentes.


[Bloque 24: #tv]

TTULO V

Notificacin de incidentes


[Bloque 25: #a1-11]

Artculo 19. Obligacin de notificar.

1. Los operadores de servicios esenciales notificarn a la autoridad competente, a travs del CSIRT de referencia, los incidentes que puedan tener efectos perturbadores significativos en dichos servicios.

Las notificaciones podrn referirse tambin, conforme se determine reglamentariamente, a los sucesos o incidencias que puedan afectar a las redes y sistemas de informacin empleados para la prestacin de los servicios esenciales, pero que an no hayan tenido un efecto adverso real sobre aqullos.

2. As mismo, los proveedores de servicios digitales notificarn a la autoridad competente, a travs del CSIRT de referencia, los incidentes que tengan efectos perturbadores significativos en dichos servicios.

La obligacin de la notificacin del incidente nicamente se aplicar cuando el proveedor de servicios digitales tenga acceso a la informacin necesaria para valorar el impacto de un incidente.

3. Las notificaciones tanto de operadores de servicios esenciales como de proveedores de servicios digitales se referirn a los incidentes que afecten a las redes y sistemas de informacin empleados en la prestacin de los servicios indicados, tanto si se trata de redes y servicios propios como si lo son de proveedores externos, incluso si stos son proveedores de servicios digitales sometidos a este real decreto-ley.

4. Las autoridades competentes y los CSIRT de referencia utilizarn una plataforma comn para facilitar y automatizar los procesos de notificacin, comunicacin e informacin sobre incidentes.

5. El desarrollo reglamentario de este real decreto-ley prever las medidas necesarias para el cumplimiento de lo preceptuado en este artculo por parte de los operadores de servicios esenciales. Las autoridades competentes podrn establecer, mediante Orden ministerial, obligaciones especficas de notificacin por los operadores de servicios esenciales. As mismo, podrn dictar instrucciones tcnicas y guas orientativas para detallar el contenido de dichas rdenes.

Al elaborar las disposiciones reglamentarias, instrucciones y guas, se tendrn en cuenta las obligaciones sectoriales, las directrices relevantes que se adopten en el grupo de cooperacin y los requisitos en materia de notificacin de incidentes a los que estuviera sometido el operador en virtud de otras normas, como la Ley 8/2011, de 28 de abril, y el Esquema Nacional de Seguridad, aprobado por el Real Decreto 3/2010, de 8 de enero.

6. La obligacin de notificacin de incidentes prevista en los apartados anteriores no obsta al cumplimiento de los deberes legales de denuncia de aquellos hechos que revistan caracteres de delito ante las autoridades competentes, de acuerdo con lo dispuesto en los artculos 259 y siguientes de la Ley de Enjuiciamiento Criminal y teniendo en cuenta lo previsto en el artculo 14.3 de este real decreto-ley.


[Bloque 26: #a2-2]

Artculo 20. Proteccin del notificante.

1. Las notificaciones consideradas en este ttulo no sujetarn a la entidad que las efecte a una mayor responsabilidad.

2. Los empleados y el personal que, por cualquier tipo de relacin laboral o mercantil, participen en la prestacin de los servicios esenciales o digitales, que informen sobre incidentes no podrn sufrir consecuencias adversas en su puesto de trabajo o con la empresa, salvo en los supuestos en que se acredite mala fe en su actuacin.

Se entendern nulas y sin efecto legal las decisiones del empleador tomadas en perjuicio o detrimento de los derechos laborales de los trabajadores que hayan actuado conforme a este apartado.


[Bloque 27: #a2-3]

Artculo 21. Factores para determinar la importancia de los efectos de un incidente.

1. A los efectos de las notificaciones a las que se refiere el artculo 19.1, primer prrafo, la importancia de un incidente se determinar teniendo en cuenta, como mnimo, los siguientes factores:

a) El nmero de usuarios afectados por la perturbacin del servicio esencial.

b) La duracin del incidente.

c) La extensin o reas geogrficas afectadas por el incidente.

d) El grado de perturbacin del funcionamiento del servicio.

e) El alcance del impacto en actividades econmicas y sociales cruciales.

f) La importancia de los sistemas afectados o de la informacin afectada por el incidente para la prestacin del servicio esencial.

g) El dao a la reputacin.

2. En las notificaciones a las que se refiere el artculo 19.2, la importancia de un incidente se determinar conforme a lo que establezcan los actos de ejecucin previstos en los apartados 8 y 9 del artculo 16 de la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016.


[Bloque 28: #a2-4]

Artculo 22. Notificacin inicial, notificaciones intermedias y notificacin final.

1. Los operadores de servicios esenciales debern realizar una primera notificacin de los incidentes a los que se refiere el artculo 19.1 sin dilacin indebida.

La notificacin incluir, entre otros datos, informacin que permita determinar cualquier efecto transfronterizo del incidente.

2. Los operadores de servicios esenciales efectuarn las notificaciones intermedias que sean precisas para actualizar la informacin incorporada a la notificacin inicial e informar sobre la evolucin del incidente, mientras ste no est resuelto.

3. Los operadores de servicios esenciales enviarn una notificacin final del incidente tras su resolucin.

Un incidente se considerar resuelto cuando se hayan restablecido las redes y sistemas de informacin afectados y el servicio opere con normalidad.


[Bloque 29: #a2-5]

Artculo 23. Flexibilidad en la observancia de los plazos para la notificacin.

Los operadores de servicios esenciales y los proveedores de servicios digitales podrn omitir, en las comunicaciones que realicen sobre los incidentes que les afecten, la informacin de la que an no dispongan relativa a su repercusin sobre servicios esenciales u otros servicios que dependan de ellos para su prestacin, u otra informacin de la que no dispongan. Tan pronto como conozcan dicha informacin debern remitirla a la autoridad competente.

Si, transcurrido un tiempo prudencial desde la notificacin inicial del incidente, el operador de servicios esenciales o el proveedor de servicios digitales no hubiera podido reunir la informacin pertinente, enviar a la autoridad competente, sin demora, un informe justificativo de las actuaciones realizadas para reunir la informacin y de los motivos por los que no ha sido posible obtenerla.


[Bloque 30: #a2-6]

Artculo 24. Incidentes que afecten a servicios digitales.

Los operadores de servicios esenciales y los proveedores de servicios digitales sometidos a este real decreto-ley, as como cualquier otra parte interesada, que tengan noticia de incidentes que afecten de modo significativo a servicios digitales ofrecidos en Espaa por proveedores establecidos en otros Estados miembros de la Unin Europea, podrn notificarlo a la autoridad competente aportando la informacin pertinente, al objeto de facilitar la cooperacin con el Estado miembro en el que estuviese establecido el citado proveedor.

Del mismo modo, si tienen noticia de que dichos proveedores han incumplido los requisitos de seguridad o de notificacin de incidentes ocurridos en Espaa que les son aplicables, podrn notificarlo a la autoridad competente aportando la informacin pertinente.


[Bloque 31: #a2-7]

Artculo 25. Tramitacin de incidentes con impacto transfronterizo.

1. Cuando las autoridades competentes o los CSIRT de referencia tengan noticia de incidentes que pueden afectar a otros Estados miembros de la Unin Europea, informarn a travs del punto de contacto nico a los Estados miembros afectados, precisando si el incidente puede tener efectos perturbadores significativos para los servicios esenciales prestados en dichos Estados.

2. Cuando a travs de dicho punto de contacto se reciba informacin sobre incidentes notificados en otros pases de la Unin Europea que puedan tener efectos perturbadores significativos para los servicios esenciales prestados en Espaa, se remitir la informacin relevante a la autoridad competente y al CSIRT de referencia, para que adopten las medidas pertinentes en el ejercicio de sus funciones respectivas.

3. Las actuaciones consideradas en los apartados anteriores se entienden sin perjuicio de los intercambios de informacin que las autoridades competentes o los CSIRT de referencia puedan realizar de modo directo con sus homlogos de otros Estados miembros de la Unin Europea en relacin con aquellos incidentes que puedan resultar de inters mutuo.


[Bloque 32: #a2-8]

Artculo 26. Informacin al pblico.

1. La autoridad competente podr exigir a los operadores de servicios esenciales o a los proveedores de servicios digitales que informen al pblico o a terceros potencialmente interesados sobre los incidentes cuando su conocimiento sea necesario para evitar nuevos incidentes o gestionar uno que ya se haya producido, o cuando la divulgacin de un incidente redunde en beneficio del inters pblico.

2. La autoridad competente tambin podr decidir informar de modo directo al pblico o a terceros sobre el incidente.

En estos casos la autoridad competente consultar y se coordinar con el operador de servicios esenciales o el proveedor de servicios digitales antes de informar al pblico.


[Bloque 33: #a2-9]

Artculo 27. Informacin anual al punto de contacto nico y al grupo de cooperacin.

1. Las autoridades competentes transmitirn al punto de contacto nico un informe anual sobre el nmero y tipo de incidentes comunicados, sus efectos en los servicios prestados o en otros servicios y su carcter nacional o transfronterizo dentro de la Unin Europea.

Las autoridades competentes elaborarn el informe siguiendo las instrucciones que dicte el punto de contacto nico teniendo en cuenta las indicaciones del grupo de cooperacin respecto al formato y contenido de la informacin a transmitir.

2. El punto de contacto nico remitir al grupo de cooperacin antes del 9 de agosto de cada ao un informe anual resumido sobre las notificaciones recibidas, y lo remitir ulteriormente a las autoridades competentes y a los CSIRT de referencia, para su conocimiento.


[Bloque 34: #a2-10]

Artculo 28. Obligacin de resolver los incidentes, de informacin y de colaboracin mutua.

1. Los operadores de servicios esenciales y los proveedores de servicios digitales tienen la obligacin de resolver los incidentes de seguridad que les afecten, y de solicitar ayuda especializada, incluida la del CSIRT de referencia, cuando no puedan resolver por s mismos los incidentes.

En tales casos debern atender a las indicaciones que reciban del CSIRT de referencia para resolver el incidente, mitigar sus efectos y reponer los sistemas afectados.

2. Los operadores de servicios esenciales y los proveedores de servicios digitales han de suministrar al CSIRT de referencia y a la autoridad competente toda la informacin que se les requiera para el desempeo de las funciones que les encomienda el presente real decreto-ley.

En particular, podr requerirse informacin adicional a los operadores de servicios esenciales y a los proveedores de servicios digitales para analizar la naturaleza, causas y efectos de los incidentes notificados, y para elaborar estadsticas y reunir los datos necesarios para elaborar los informes anuales considerados en el artculo 27.

Cuando las circunstancias lo permitan, la autoridad competente o el CSIRT de referencia proporcionarn a los operadores de servicios esenciales o a los proveedores de servicios digitales afectados por incidentes la informacin derivada de su seguimiento que pueda serles relevante, en particular, para resolver el incidente.


[Bloque 35: #a2-11]

Artculo 29. Cooperacin en lo relativo a los incidentes que afecten a datos personales.

Las autoridades competentes y los CSIRT de referencia cooperarn estrechamente con la Agencia Espaola de Proteccin de Datos para hacer frente a los incidentes que den lugar a violaciones de datos personales.

Las autoridades competentes y los CSIRT de referencia comunicarn sin dilacin a la Agencia Espaola de Proteccin de Datos los incidentes que puedan suponer una vulneracin de datos personales y la mantendrn informada sobre la evolucin de tales incidentes.


[Bloque 36: #a3-2]

Artculo 30. Autorizacin para la cesin de datos personales.

Si la notificacin de incidentes o su gestin, anlisis o resolucin requiriera comunicar datos personales, su tratamiento se restringir a los que sean estrictamente adecuados, pertinentes y limitados a lo necesario en relacin con la finalidad, de las indicadas, que se persiga en cada caso.

Su cesin para estos fines se entender autorizada en los siguientes casos:

a) De los operadores de servicios esenciales y los proveedores de servicios digitales a las autoridades competentes, a travs de los CSIRT de referencia.

b) Entre los CSIRT de referencia y las autoridades competentes, y viceversa.

c) Entre los CSIRT de referencia, y entre stos y los CSIRT designados en otros Estados miembros de la Unin Europea.

d) Entre los CSIRT de referencia y otros CSIRT nacionales o internacionales.

e) Entre el punto de contacto nico y los puntos de contacto nicos de otros Estados miembros de la Unin Europea.


[Bloque 37: #a3-3]

Artculo 31. Notificaciones voluntarias.

1. Los operadores de servicios esenciales y los proveedores de servicios digitales podrn notificar los incidentes para los que no se establezca una obligacin de notificacin.

As mismo, las entidades que presten servicios esenciales y no hayan sido identificadas como operadores de servicios esenciales y que no sean proveedores de servicios digitales podrn notificar los incidentes que afecten a dichos servicios.

Estas notificaciones obligan a la entidad que las efecte a resolver el incidente de acuerdo con lo establecido en el artculo 28.

2. Las notificaciones a las que se refiere el apartado anterior se regirn por lo dispuesto en este ttulo, y se informar sobre ellas al punto de contacto nico en el informe anual previsto en el artculo 27.1.

3. Las notificaciones obligatorias gozarn de prioridad sobre las voluntarias a los efectos de su gestin por los CSIRT y por las autoridades competentes.


[Bloque 38: #tv-2]

TTULO VI

Supervisin


[Bloque 39: #a3-4]

Artculo 32. Supervisin de los operadores de servicios esenciales.

1. Las autoridades competentes podrn requerir a los operadores de servicios esenciales para que les proporcionen toda la informacin necesaria para evaluar la seguridad de las redes y sistemas de informacin, incluida la documentacin sobre polticas de seguridad.

Podrn requerirles informacin sobre la aplicacin efectiva de su poltica de seguridad, as como auditar o exigir al operador que someta la seguridad de sus redes y sistemas de informacin a una auditora por una entidad externa, solvente e independiente.

2. A la vista de la informacin recabada, la autoridad competente podr requerir al operador que subsane las deficiencias detectadas e indicarle cmo debe hacerlo.


[Bloque 40: #a3-5]

Artculo 33. Supervisin de los proveedores de servicios digitales.

1. La autoridad competente para la supervisin de los servicios digitales slo inspeccionar el cumplimiento de las obligaciones derivadas de este real decreto-ley cuando tenga noticia de algn incumplimiento, incluyendo por peticin razonada de otros rganos o denuncia.

En tal caso, la autoridad competente podr requerir al proveedor de servicios digitales para que le proporcione toda la informacin necesaria para evaluar la seguridad de sus redes y sistemas de informacin, incluida la documentacin sobre polticas de seguridad, y para que subsane las deficiencias detectadas.

2. Cuando la autoridad competente tenga noticia de incidentes que perturben de modo significativo a servicios digitales ofrecidos en otros Estados miembros por proveedores establecidos en Espaa, adoptar las medidas de supervisin pertinentes.

A estos efectos, tendr especialmente en cuenta la informacin facilitada por las autoridades competentes de otros Estados miembros.


[Bloque 41: #a3-6]

Artculo 34. Cooperacin transfronteriza.

1. La supervisin se llevar a cabo, cuando proceda, en cooperacin con las autoridades competentes de los Estados miembros en los que se ubiquen las redes y sistemas de informacin empleados para la prestacin del servicio, o en que est establecido el operador de servicios esenciales, el proveedor de servicios digitales o su representante.

2. Las autoridades competentes colaborarn con las autoridades competentes de otros Estados miembros cuando stas requieran su cooperacin en la supervisin y adopcin de medidas por operadores de servicios esenciales y proveedores de servicios digitales en relacin con las redes y sistemas de informacin ubicados en Espaa, as como respecto a los proveedores de servicios digitales establecidos en Espaa o cuyo representante en la Unin Europea tenga su residencia o domicilio social en Espaa.


[Bloque 42: #tv-3]

TTULO VII

Rgimen sancionador


[Bloque 43: #a3-7]

Artculo 35. Responsables.

Sern responsables los operadores de servicios esenciales y los proveedores de servicios digitales comprendidos en el mbito de aplicacin de este real decreto-ley.


[Bloque 44: #a3-8]

Artculo 36. Infracciones.

1. Las infracciones de los preceptos de este real decreto-ley se clasifican en muy graves, graves y leves.

2. Son infracciones muy graves:

a) La falta de adopcin de medidas para subsanar las deficiencias detectadas, de acuerdo con lo dispuesto en los artculos 32.2 o 33.1, cuando stas le hayan hecho vulnerable a un incidente con efectos perturbadores significativos en el servicio y el operador de servicios esenciales o el proveedor de servicios digitales no hubiera atendido los requerimientos dictados por la autoridad competente con anterioridad a la produccin del incidente.

b) El incumplimiento reiterado de la obligacin de notificar incidentes con efectos perturbadores significativos en el servicio. Se considerar que es reiterado a partir del segundo incumplimiento.

c) No tomar las medidas necesarias para resolver los incidentes con arreglo a lo dispuesto en el artculo 28.1 cuando stos tengan un efecto perturbador significativo en la prestacin servicios esenciales o de servicios digitales en Espaa o en otros Estados miembros.

3. Son infracciones graves:

a) El incumplimiento de las disposiciones reglamentarias o de las instrucciones tcnicas de seguridad dictadas por la autoridad competente referidas a las precauciones mnimas que los operadores de servicios esenciales han de adoptar para garantizar la seguridad de las redes y sistemas de informacin.

b) La falta de adopcin de medidas para subsanar las deficiencias detectadas en respuesta a un requerimiento dictado de acuerdo con los artculos 32.2 o 33.1, cuando ese sea el tercer requerimiento desatendido que se dicta en los cinco ltimos aos.

c) El incumplimiento de la obligacin de notificar incidentes con efectos perturbadores significativos en el servicio.

d) La demostracin de una notoria falta de inters en la resolucin de incidentes con efectos perturbadores significativos notificados cuando d lugar a una mayor degradacin del servicio.

e) Proporcionar informacin falsa o engaosa al pblico sobre los estndares que cumple o las certificaciones de seguridad que mantiene en vigor.

f) Poner obstculos a la realizacin de auditoras por la autoridad competente.

4. Son infracciones leves:

a) El incumplimiento de las disposiciones reglamentarias o de las instrucciones tcnicas de seguridad dictadas por la autoridad competente al amparo de este real decreto-ley, cuando no suponga una infraccin grave.

b) La falta de adopcin de medidas para corregir las deficiencias detectadas en respuesta a un requerimiento de subsanacin dictado de acuerdo con los artculos 32.2 o 33.1.

c) No facilitar la informacin que sea requerida por las autoridades competentes sobre sus polticas de seguridad, o proporcionar informacin incompleta o tarda sin justificacin.

d) No someterse a una auditora de seguridad segn lo ordenado por la autoridad competente.

e) No proporcionar al CSIRT de referencia o a la autoridad competente la informacin que soliciten en virtud del artculo 28.2.

f) La falta de notificacin de los sucesos o incidencias para los que, aunque no hayan tenido un efecto adverso real sobre los servicios, exista obligacin de notificacin en virtud del prrafo segundo del artculo 19.2.

g) No completar la informacin que debe reunir la notificacin de incidentes teniendo en cuenta lo dispuesto en el artculo 23, o no remitir el informe justificativo sobre la imposibilidad de reunir la informacin previsto en dicho artculo.

h) No seguir las indicaciones que reciba del CSIRT de referencia para resolver un incidente, de acuerdo con el artculo 28.


[Bloque 45: #a3-9]

Artculo 37. Sanciones.

1. Por la comisin de las infracciones recogidas en el artculo anterior, se impondrn las siguientes sanciones:

a) Por la comisin de infracciones muy graves, multa de 500.001 hasta 1.000.000 euros.

b) Por la comisin de infracciones graves, multa de 100.001 hasta 500.000 euros.

c) Por la comisin de infracciones leves, amonestacin o multa hasta 100.000 euros.

2. Las sanciones firmes en va administrativa por infracciones muy graves y graves podrn ser publicadas, a costa del sancionado, en el Boletn Oficial del Estado y en el sitio de Internet de la autoridad competente, en atencin a los hechos concurrentes y de conformidad con el artculo siguiente.


[Bloque 46: #a3-10]

Artculo 38. Graduacin de la cuanta de las sanciones.

El rgano sancionador establecer la sancin teniendo en cuenta los siguientes criterios:

a) El grado de culpabilidad o la existencia de intencionalidad.

b) La continuidad o persistencia en la conducta infractora.

c) La naturaleza y cuanta de los perjuicios causados.

d) La reincidencia, por comisin en el ltimo ao de ms de una infraccin de la misma naturaleza, cuando as haya sido declarado por resolucin firme en va administrativa.

e) El nmero de usuarios afectados.

f) El volumen de facturacin del responsable.

g) La utilizacin por el responsable de programas de recompensa por el descubrimiento de vulnerabilidades en sus redes y sistemas de informacin.

h) Las acciones realizadas por el responsable para paliar los efectos o consecuencias de la infraccin.


[Bloque 47: #a3-11]

Artculo 39. Proporcionalidad de sanciones.

1. El rgano sancionador podr establecer la cuanta de la sancin aplicando la escala relativa a la clase de infracciones que preceda inmediatamente en gravedad a aquella en que se integra la considerada en el caso de que se trate, en los siguientes supuestos:

a) Cuando se aprecie una cualificada disminucin de la culpabilidad del imputado como consecuencia de la concurrencia significativa de varios de los criterios enunciados en el artculo 38.

b) Cuando la entidad infractora haya regularizado la situacin irregular de forma diligente.

c) Cuando el infractor haya reconocido espontneamente su culpabilidad.

2. Los rganos con competencia sancionadora, atendida la naturaleza de los hechos y la concurrencia significativa de los criterios establecidos en el apartado anterior, podrn no acordar el inicio del procedimiento sancionador y, en su lugar, apercibir al sujeto responsable a fin de que, en el plazo que el rgano sancionador determine, acredite la adopcin de las medidas correctoras que, en cada caso, resulten pertinentes, siempre que concurran los siguientes presupuestos:

a) Que los hechos fuesen constitutivos de infraccin leve o grave conforme a lo dispuesto en este real decreto-ley.

b) Que el rgano competente no hubiese sancionado o apercibido al infractor en los dos aos previos como consecuencia de la comisin de infracciones previstas en este real decreto-ley.

Si el apercibimiento no fuera atendido en el plazo que el rgano sancionador hubiera determinado, proceder la apertura del correspondiente procedimiento sancionador por dicho incumplimiento.

3. No podrn ser objeto de apercibimiento las infracciones leves descritas en el artculo 36.4 c), d) y e) y la infraccin grave prevista en el artculo 36.3 e).


[Bloque 48: #a4-2]

Artculo 40. Infracciones de las Administraciones pblicas.

1. Cuando las infracciones a que se refiere el artculo 36 fuesen cometidas por rganos o entidades de las Administraciones Pblicas, el rgano sancionador dictar una resolucin estableciendo las medidas que procede adoptar para que cesen o se corrijan los efectos de la infraccin. Esta resolucin se notificar al rgano o entidad infractora y a los afectados, si los hubiera.

Adems de lo anterior, el rgano sancionador podr proponer tambin la iniciacin de actuaciones disciplinarias, si procedieran.

2. Se debern comunicar al rgano sancionador las resoluciones que recaigan en relacin con las medidas y actuaciones a que se refiere el apartado anterior.


[Bloque 49: #a4-3]

Artculo 41. Competencia sancionadora.

1. La imposicin de sanciones corresponder, en el caso de infracciones muy graves, al Ministro competente en virtud de lo dispuesto en el artculo 9, y en el caso de infracciones graves y leves al rgano de la autoridad competente que se determine mediante el reglamento de desarrollo de este real decreto-ley.

2. La potestad sancionadora se ejercer con arreglo a los principios y al procedimiento previstos en las Leyes 39/2015, de 1 de octubre, del Procedimiento Administrativo Comn de las Administraciones Pblicas, y 40/2015, de 1 de octubre, de Rgimen Jurdico del Sector Pblico.

3. El ejercicio de la potestad sancionadora se sujetar al procedimiento aplicable, con carcter general, a la actuacin de las Administraciones pblicas. No obstante, el plazo mximo de duracin del procedimiento ser de un ao y el plazo de alegaciones no tendr una duracin inferior a un mes.


[Bloque 50: #a4-4]

Artculo 42. Concurrencia de infracciones.

1. No proceder la imposicin de sanciones segn lo previsto en este real decreto-ley cuando los hechos constitutivos de infraccin lo sean tambin de otra tipificada en la normativa sectorial a la que est sujeto el prestador del servicio y exista identidad del bien jurdico protegido.

2. Cuando, como consecuencia de una actuacin sancionadora, se tuviera conocimiento de hechos que pudieran ser constitutivos de infracciones tipificadas en otras leyes, se dar cuenta de los mismos a los rganos u organismos competentes para su supervisin y sancin.


[Bloque 51: #da]

Disposicin adicional primera. Relacin inicial de servicios esenciales y operadores de servicios esenciales.

La Comisin Nacional para la Proteccin de las Infraestructuras Crticas aprobar una primera lista de servicios esenciales dentro de los sectores incluidos en el mbito de aplicacin de este real decreto-ley e identificar a los operadores que los presten que deban sujetarse a este real decreto-ley en el siguiente orden:

a) Antes del 9 de noviembre de 2018: los servicios esenciales y los operadores correspondientes a los sectores estratgicos energa, transporte, salud, sistema financiero, agua, e infraestructuras digitales.

b) Antes del 9 de noviembre de 2019: los servicios esenciales y los operadores correspondientes al resto de los sectores estratgicos recogidos en el anexo de la Ley 8/2011, de 28 de abril.


[Bloque 52: #da-2]

Disposicin adicional segunda. Comunicaciones electrnicas y servicios de confianza.

La aplicacin de este real decreto-ley a los operadores de redes y servicios de comunicaciones electrnicas y de servicios electrnicos de confianza que sean designados como operadores crticos en virtud de la Ley 8/2011, de 28 de abril, no obstar a la aplicacin de su normativa especfica en materia de seguridad.

El Ministerio de Economa y Empresa, como rgano competente para la aplicacin de dicha normativa, y el Ministerio del Interior actuarn de manera coordinada en el establecimiento de obligaciones que recaigan sobre los operadores crticos. As mismo, mantendrn un intercambio fluido de informacin sobre incidentes que les afecten.


[Bloque 53: #da-3]

Disposicin adicional tercera. Notificacin de violaciones de seguridad de los datos personales a travs de la plataforma comn prevista en este real decreto-ley.

La plataforma comn para la notificacin de incidentes prevista en este real decreto-ley podr ser empleada para la notificacin de vulneraciones de la seguridad de datos personales segn el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la proteccin de las personas fsicas en lo que respecta al tratamiento de datos personales y a la libre circulacin de estos datos y por el que se deroga la Directiva 95/46/CE, en los trminos que acuerden la Agencia Espaola de Proteccin de Datos y los rganos que gestionen dicha plataforma.


[Bloque 54: #da-4]

Disposicin adicional cuarta. Proveedores de servicios digitales ya existentes.

Los proveedores de servicios digitales que ya vinieran prestando servicios debern comunicar su actividad a la Secretara de Estado para el Avance Digital del Ministerio de Economa y Empresa, en el plazo de tres meses desde la entrada en vigor de este real decreto-ley.


[Bloque 55: #df]

Disposicin final primera. Ttulo competencial.

Este real decreto-ley se dicta en virtud de las competencias exclusivas atribuidas al Estado en materia de rgimen general de telecomunicaciones y seguridad pblica, por el artculo 149.1.21. y 29. de la Constitucin.


[Bloque 56: #df-2]

Disposicin final segunda. Incorporacin del Derecho de la Unin Europea.

Este real decreto-ley incorpora al ordenamiento jurdico interno la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel comn de seguridad de las redes y sistemas de informacin en la Unin.


[Bloque 57: #df-3]

Disposicin final tercera. Habilitacin para el desarrollo reglamentario.

Se habilita al Gobierno para desarrollar reglamentariamente lo previsto en este real decreto-ley sin perjuicio de la competencia de los Ministros para fijar las obligaciones especficas mediante Orden Ministerial en los supuestos previstos en el articulado de esta norma.


[Bloque 58: #df-4]

Disposicin final cuarta. Entrada en vigor.

El presente real decreto-ley entrar en vigor el da siguiente al de su publicacin en el Boletn Oficial del Estado.


[Bloque 59: #fi]

Dado en Madrid, el 7 de septiembre de 2018.

FELIPE R.

El Presidente del Gobierno,

PEDRO SNCHEZ PREZ-CASTEJN

Este documento es de carácter informativo y no tiene valor jurídico.

Dudas o sugerencias: Servicio de atención al ciudadano

subir

Agencia Estatal Boletín Oficial del Estado

Avda. de Manoteras, 54 - 28050 Madrid