Agencia Estatal Boletín Oficial del Estado

La Comisión Permanente del Consejo de Estado, en sesión celebrada el día 26 de noviembre de 2020, , emitió, por unanimidad, el siguiente dictamen:

"En cumplimiento de Orden de V. E. de 27 de octubre de 2020, con registro de entrada el día siguiente, el Consejo de Estado ha examinado el proyecto de Real Decreto por el que se desarrolla el Real decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información.

De antecedentes resulta

Primero.- Estructura del proyecto

El proyecto de real decreto consta de un preámbulo, quince artículos, seis disposiciones adicionales, tres disposiciones finales y un anexo.

El preámbulo se abre con la cita de la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión Europea. Esta norma, conocida como Directiva NIS por sus siglas en inglés (Security of Network and Information Systems), fue incorporada al ordenamiento español mediante el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información. En cumplimiento de la Directiva, el citado real decreto-ley establece un régimen jurídico sobre la seguridad de las redes y sistemas de información utilizados para la provisión de los servicios esenciales y determinados servicios digitales. Regula una serie de mecanismos que, desde una perspectiva integral, permiten mejorar la protección frente a las amenazas que afectan a las redes y sistemas de información. Además, establece un marco institucional que facilita la coordinación de las actuaciones en esta materia tanto a nivel nacional como con los países de nuestro entorno, en particular, dentro de la Unión Europea.

En su disposición final tercera, el Real decreto-ley 12/2018, de 7 de septiembre, habilita al Gobierno para su desarrollo reglamentario. En cumplimiento de esta habilitación legal se aprueba el real decreto proyectado, que tiene por finalidad desarrollar el real decreto-ley citado en lo relativo al marco estratégico e institucional de seguridad de las redes y sistemas de información; al cumplimiento de las obligaciones de seguridad de los operadores de servicios esenciales y de los proveedores de servicios digitales; y a la gestión de incidentes de seguridad.

Tras esta mención al fundamento legal y al objeto de la norma proyectada, el preámbulo sintetiza su contenido, justifica su adecuación a los principios de buena regulación establecidos en el artículo 129 de la Ley 39/2015, de 1 de octubre, y hace referencia a los principales informes recabados durante la tramitación. Por último, de acuerdo con la fórmula de expedición, el real decreto proyectado se aprobará a propuesta conjunta de "la Vicepresidenta Primera del Gobierno y Ministra de la Presidencia, Relaciones con las Cortes y Memoria Democrática, de la Vicepresidenta Tercera y Ministra de Asuntos Económicos y Transformación Digital, de la Ministra de Defensa y del Ministro del Interior".

A continuación, el articulado del proyecto se estructura en cinco capítulos:

El capítulo I ("Disposiciones generales") delimita en sus artículos 1 y 2 el objeto y el ámbito de aplicación del real decreto proyectado. En cuanto al ámbito de aplicación, coincide literalmente con el del Real Decreto-ley 12/2018, de 7 de septiembre, que el proyecto viene a desarrollar. De este modo, la norma proyectada "se aplicará a la prestación de:

a) Los servicios esenciales dependientes de las redes y sistemas de información comprendidos en los sectores estratégicos definidos en el anexo de la Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas.

b) Los servicios digitales que sean mercados en línea, motores de búsqueda en línea y servicios de computación en nube" (artículo 2.1 del proyecto).

En concreto, estarán sometidos al real decreto proyectado "los operadores de servicios esenciales establecidos en España" y "los servicios esenciales que los operadores residentes o domiciliados en otro Estado ofrezcan a través de un establecimiento permanente situado en España". Asimismo, se someterán a la norma proyectada "los proveedores de servicios digitales que tengan su sede social en España y que constituyan su establecimiento principal en la Unión Europea, así como los que, no estando establecidos en la Unión Europea, designen en España a su representante en la Unión para el cumplimiento de la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión" (artículo 2.2 del proyecto).

Finalmente, el proyecto delimita negativamente su ámbito aplicación, del que excluye a:

"a) Los operadores de redes y servicios de comunicaciones electrónicas y los prestadores de servicios electrónicos de confianza que no sean designados como operadores críticos en virtud de la Ley 8/2011, de 28 de abril.

b) Los proveedores de servicios digitales cuando se trate de microempresas o pequeñas empresas, de acuerdo con las definiciones recogidas en la Recomendación 2003/361/CE de la Comisión, de 6 de mayo de 2003, sobre la definición de microempresas, pequeñas y medianas empresas".

El capítulo II ("Marco estratégico e institucional") comprende los artículos 3 a 7. En el artículo 3 se designan las autoridades sectoriales competentes en materia de seguridad de las redes y sistemas de información en relación con los operadores de servicios esenciales que no tienen la consideración de operadores críticos. Se designan, en concreto, las autoridades competentes en los sectores del transporte, del espacio, la energía, el agua, la alimentación, la salud, las tecnologías de la información y las telecomunicaciones y las instalaciones de investigación, así como en el sector financiero, en la industria química y en la industria nuclear. El artículo 4 desarrolla la cooperación y coordinación entre los distintos "equipos de respuesta a incidentes de seguridad informática" de referencia (CSIRT de referencia), y de estos con las autoridades competentes (artículo 4). El artículo 5 regula las funciones de coordinación que corresponden al Consejo de Seguridad Nacional, de acuerdo con lo establecido en el artículo 9 del Real Decreto-ley 12/2018.

El capítulo III ("Requisitos de seguridad") comprende los artículos 6 y 7. El primero de ellos desarrolla las medidas para el cumplimiento de las obligaciones de seguridad de los operadores de servicios esenciales. La relación de medidas adoptadas por el operador se formalizará en un documento denominado "Declaración de aplicabilidad de medidas de seguridad", que será suscrito por el "responsable de seguridad del sistema de información", figura cuya designación y funciones se regulan en el artículo 7.

El capítulo IV ("Gestión de incidentes de seguridad") está integrado por los artículos 8 a 14. El artículo 8 desarrolla la obligación de los operadores de servicios esenciales y los proveedores de servicios digitales de gestionar y resolver los incidentes de seguridad que afecten a las redes y sistemas de información utilizados para la prestación de sus servicios tanto si se trata de redes y servicios propios como si son de proveedores externos.

El artículo 9 se refiere a las obligaciones de notificación de los incidentes que corresponde cumplir a los operadores de servicios esenciales, de acuerdo con los niveles de impacto crítico, muy alto o alto, que se detallan en los apartados 3 y 4 de la Instrucción nacional de notificación y gestión de ciberincidentes, contenida en el anexo del proyecto de real decreto. El artículo 10 regula el procedimiento de notificación, que se efectuará a través del CSIRT de referencia y que se tramita a través de la Plataforma Nacional de Notificación y Seguimiento de Ciberincidentes. Esta plataforma, cuyas capacidades y funcionamiento se regulan en el artículo 11 del proyecto, permite el intercambio de información entre los operadores de servicios esenciales y proveedores de servicios digitales, las autoridades competentes y los CSIRT de referencia. El artículo 12 se refiere a la información que los CSIRT de referencia y las autoridades competentes pueden proporcionar a los operadores y proveedores para la gestión de los incidentes.

El artículo 13 establece que, en el caso de que los ciberincidentes notificados revistan carácter presuntamente delictivo, la Oficina de Coordinación Cibernética del Ministerio del Interior los comunicará a la mayor brevedad posible al Ministerio Fiscal y, en su caso, a la Policía Judicial. El artículo 14 se refiere a la cooperación de las autoridades competentes y de los CSIRT con otras autoridades con competencias sobre seguridad de la información (entre otras, las autoridades competentes en materia de seguridad ciudadana y seguridad pública).

El capítulo V ("Supervisión") desarrolla en el artículo 15 la obligación de colaboración de los operadores de servicios esenciales y los proveedores de servicios digitales con las autoridades competentes, que podrán requerir, asimismo, la colaboración de los CSIRT de referencia para el ejercicio de su función de supervisión.

En lo que hace a la parte final del proyecto, la disposición adicional primera establece, para los operadores de servicios esenciales ya designados, la obligación de comunicar a la autoridad competente la identidad del responsable de la seguridad de la información del operador en el plazo de tres meses desde la entrada en vigor del real decreto. La disposición adicional segunda prevé la posibilidad de que el Consejo de Seguridad Nacional adopte orientaciones en relación con la aplicación de la Instrucción Nacional de Notificación y Gestión de Ciberincidentes recogida en el anexo del real decreto, así como para la actualización de la Guía Nacional de Notificación y Gestión de Ciberincidentes. La disposición adicional tercera regula el régimen específico aplicable al Banco de España. La disposición adicional cuarta aclara cuál ha de ser el CSIRT competente en el caso de que los operadores de servicios esenciales o proveedores de servicios digitales dependan de proveedores externos sujetos a la disposición adicional novena de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico. La disposición adicional quinta precisa que el tratamiento de los datos de carácter personal se realizará de acuerdo con la normativa específica vigente en esta materia. La disposición adicional sexta establece que los CSIRT de referencia deben informar al titular de la Secretaría de Estado de Economía y Apoyo a la Empresa de los incidentes que puedan tener efectos perturbadores significativos en los servicios esenciales del sistema financiero.

En lo que hace a las disposiciones finales, la primera de ellas cita las reglas 21.ª y 29.ª del artículo 149.1 de la Constitución como títulos sobre los que se sustenta la competencia estatal para la aprobación de la norma proyectada (régimen general de telecomunicaciones y seguridad pública, respectivamente). La disposición final segunda faculta a los titulares de los Ministerios de Asuntos Económicos y Transformación Digital, Interior y Defensa, así como a los titulares de los ministerios y organismos relacionados en el artículo 3, "para dictar conjunta o separadamente, según las materias de que se trate, y en el ámbito de sus respectivas competencias, las disposiciones que exijan el desarrollo y aplicación de este real decreto". Por su parte, la disposición final tercera prevé la entrada en vigor del real decreto proyectado el día siguiente al de su publicación en el Boletín Oficial del Estado.

Por último, el proyecto cuenta con un anexo, que contiene la Instrucción nacional de notificación y gestión de ciberincidentes. Esta instrucción, de carácter eminentemente técnico, recoge los umbrales a partir de los cuales se considera obligatoria la notificación de ciberincidentes; establece una "clasificación/taxonomía" de los ciberincidentes y fija los niveles de peligrosidad e impacto que se asocian a ellos; detalla la información que debe notificarse a la autoridad competente en caso de incidente y los plazos en los que esa notificación ha de producirse. Finalmente, la instrucción se cierra con la definición de una serie de conceptos, a los exclusivos efectos de la notificación y gestión de ciberincidentes.

Segundo.- Contenido del expediente

En el expediente remitido al Consejo de Estado obran los siguientes documentos:

a. Texto del proyecto y de la memoria del análisis de impacto normativo: El texto del proyecto de real decreto, cuya estructura ha quedado descrita en el punto anterior de antecedentes, obra en el expediente acompañado de la correspondiente memoria del análisis de impacto normativo.

La memoria se abre con un resumen ejecutivo del documento. A continuación, dedica su apartado primero al análisis de la oportunidad del proyecto normativo:

• La memoria subraya el notable incremento del número de incidentes gestionados en los últimos años por el Centro de Respuesta ante Ciberincidentes del Instituto Nacional de Ciberseguridad (INCIBE-CERT). Así, frente a los 18.000 ciberincidentes sufridos en 2014, en el año 2019 se gestionaron 110.000 casos. En cuanto a los incidentes de mayor repercusión, la memoria señala que "en el último año han tomado especial protagonismo las infecciones informáticas con programas de tipo ramsonware, que secuestran la información de los usuarios (por ejemplo, cifrando discos duros) solicitando un rescate para su recuperación. Estas infecciones se propagan en correos electrónicos que suplantan a usuarios legítimos (phishing), o alterando sitios web legítimos (defacement) que infectan a los usuarios que las visitan". También han sido relevantes los incidentes que causan "la indisponibilidad de sitios web desbordándolos con peticiones de acceso desde múltiples fuentes ("DDoS denegación de servicio distribuido") infectadas con programas que lanzan estos ataques de modo sincronizado". Este tipo de infecciones han comenzado a afectar a dispositivos de control, medida o vigilancia remota ("Internet de las cosas") que están empezando a utilizarse masivamente tanto por empresas como por particulares y que, por sus especiales características, en ocasiones no tienen las medidas de protección adecuadas.

• Recuerda la memoria que la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, se aprobó con la finalidad de dar una respuesta efectiva a los problemas de seguridad de las redes y sistemas de información mediante un planteamiento global en la Unión Europea. Esta directiva fue incorporada al ordenamiento español mediante el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información, que estableció una serie de disposiciones en materia de seguridad aplicables cuando dichas redes y sistemas son utilizados para la provisión de servicios esenciales o de determinados servicios digitales. El real decreto-ley reguló un sistema de notificación de incidentes por parte de los operadores de servicios esenciales, así como un marco institucional de cooperación entre autoridades tanto nacionales como de la Unión Europea. El Real Decreto- ley 12/2018, de 7 de septiembre, extendió su ámbito de aplicación más allá de la propia la Directiva (UE) 2016/1148, puesto que en él se incluyen - además de los mencionados en la norma europea- los sectores a los que se refiere la Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas. En consecuencia, el real decreto-ley citado se aplica no solo a los sectores contemplados en el anexo II de la Directiva (UE) 2016/1148, sino también a otros (administración, sector espacial, industria química, industria nuclear, instalaciones de investigación y alimentación).

• De acuerdo con la memoria, los fines de la norma en proyecto se alinean con los perseguidos por la Directiva (UE) 2016/1148 y por el Real Decreto-ley 12/2018, de 7 de septiembre. En este sentido, el proyecto sirve al interés de garantizar una prestación segura y continuada de los servicios esenciales provistos a través de redes y sistemas de información, así como de ciertos servicios digitales. Esa seguridad y continuidad en la prestación de los servicios redundará en un incremento de la confianza de usuarios y empresas en la utilización de las tecnologías de la información y comunicación y, en último término, contribuirá al desarrollo económico y social. Por otro lado, una mayor seguridad de las redes y sistemas de información los hará menos vulnerables a los ataques de carácter delictivo, en beneficio de la seguridad pública y, eventualmente, de la seguridad nacional.

• La memoria afirma que resulta necesario el desarrollo del Real Decreto-ley 12/2018, de 7 de septiembre, lo que hace imprescindible la aprobación de una norma reglamentaria en ejecución de la referida disposición de rango legal. En concreto, el proyecto tiene como objetivos los siguientes:

- Identificar a las autoridades sectoriales competentes de los operadores de servicios esenciales que no son operadores críticos ni se encuentran comprendidos en el ámbito de aplicación de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público. - Articular la cooperación y coordinación entre los CSIRT de referencia y de estos con las autoridades competentes. - Desarrollar la obligación de los operadores de servicios esenciales de adoptar medidas para gestionar los riesgos de seguridad de las redes y sistemas de información utilizados en la prestación de dichos servicios. - Regular la figura y funciones del responsable de seguridad de la información que designen los operadores de servicios esenciales. - Desarrollar las obligaciones de notificación de incidentes.

Se considera idóneo el momento en el cual se acomete este desarrollo reglamentario, una vez aprobada la lista de servicios esenciales y de operadores correspondientes a los distintos sectores estratégicos por parte de la Comisión Nacional para la Protección de las Infraestructuras Críticas (tal y como exigía la disposición adicional primera del Real Decreto-ley 12/2018), y una vez que los proveedores de servicios digitales no pertenecientes al sector público han procedido a comunicar su actividad a la Secretaría de Estado para el Avance Digital (como imponía la disposición adicional cuarta del mismo real decreto-ley).

• Por último, la memoria concluye su análisis de la oportunidad de la propuesta con un examen de la adecuación del proyecto de real decreto a los principios de buena regulación enunciados en el artículo 129.1 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.

El siguiente apartado de la memoria se dedica a la descripción del contenido del proyecto, y a su análisis jurídico:

• Se hace referencia al fundamento legal de la norma proyectada, que se encuentra en la disposición final tercera del Real Decreto-ley 12/2018, y a la conformidad del rango de real decreto de la norma en proyecto, de acuerdo con la habilitación que en la citada disposición final se contiene.

• Sobre la entrada en vigor de la norma en proyecto, la memoria justifica su entrada en vigor el día siguiente al de su publicación oficial. Afirma que el real decreto proyectado no impone nuevas obligaciones a las personas físicas o jurídicas que desempeñen una actividad económica o profesional como consecuencia del ejercicio de esta (puesto que las obligaciones dimanantes de la transposición de la Directiva NIS ya se encuentran establecidas en el Real Decreto-ley 12/2018, de 7 de septiembre); "sin embargo -añade-, este real decreto desarrolla y concreta los cauces para hacer efectivas esas obligaciones, por lo que resulta imprescindible darles plena virtualidad. En consecuencia, es de fundamental importancia que la entrada en vigor del real decreto tenga lugar a la mayor brevedad posible". • Por otro lado, la memoria examina la coherencia del proyecto de real decreto con respecto al ordenamiento jurídico. En este sentido, describe el marco normativo europeo en el que la norma proyectada se inscribe y destaca la coordinación del proyecto con lo dispuesto en otras normas nacionales de rango legal. Entre esas normas se citan la Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas; la Ley 36/2015, de 28 de septiembre, de Seguridad Nacional; la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales; la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público (en tanto que su artículo 156.2 se refiere al Esquema Nacional de Seguridad); y el Real Decreto-ley 14/2019, de 31 de octubre, por el que se adoptan medidas urgentes por razones de seguridad pública en materia de administración digital, contratación del sector público y telecomunicaciones.

La memoria contiene, asimismo, un apartado en el que se lleva a cabo un análisis sobre la adecuación del proyecto al orden constitucional de distribución de competencias. Se concluye que la competencia estatal para la aprobación de la norma se funda en los títulos contemplados en las reglas 21.ª y 29.ª del artículo 149.1 de la Constitución, que se refieren, respectivamente, al régimen general de las telecomunicaciones y a la seguridad pública. En este punto la memoria sintetiza la delimitación de competencias entre el Estado y las comunidades autónomas en materia de ciberseguridad en los términos en que ha sido precisada por el Tribunal Constitucional en su sentencia 142/2018, de 20 de diciembre, que declaró la inconstitucionalidad de determinados preceptos de la Ley 15/2017, de 25 de julio, de la Agencia de Ciberseguridad de Cataluña.

A continuación, la memoria describe la tramitación seguida por el proyecto:

• Señala que la elaboración de la norma se llevó a cabo en el seno de un grupo de trabajo de carácter interministerial, con participación del Ministerio de Asuntos Económicos y Transformación Digital (a través de la Secretaría de Estado de Digitalización e Inteligencia Artificial y del Instituto Nacional de Ciberseguridad), del Ministerio del Interior (a través de la Oficina de Coordinación de Ciberseguridad) y del Ministerio de Defensa (a través del Centro Criptológico Nacional, del Centro Nacional de Inteligencia y del Mando Conjunto del Ciberespacio), así como por del Departamento de Seguridad Nacional adscrito al Gabinete de la Presidencia del Gobierno.

• En relación con el trámite de consulta previa al que se refiere el artículo 26.2 de la Ley 50/1997, de 27 de noviembre, del Gobierno, la memoria justifica su omisión, por ser la norma proyectada un desarrollo reglamentario del Real Decreto-ley 12/2018, de 7 de septiembre, que regula exclusivamente aspectos parciales de la materia y que no establece nuevas y relevantes obligaciones para sus destinatarios.

• Al hilo de la descripción de las consultas formuladas e informes recabados durante el procedimiento de elaboración de la norma, la memoria sintetiza y da una respuesta general a las principales observaciones formuladas con ocasión de estos trámites.

En lo que respecta al impacto económico del proyecto, la memoria considera que el proyecto tendrá efectos positivos para la innovación, para la productividad de las empresas y para los consumidores, y un impacto asimismo positivo desde la perspectiva de la economía europea (impulso del mercado interior, reducción de cargas administrativas derivada de la aproximación de legislaciones y fomento de la industria europea de ciberseguridad). La memoria considera que el proyecto tendrá un impacto neutro sobre las pymes, sobre el empleo y sobre los precios de los servicios. El coste de cumplir con las obligaciones de seguridad de redes y sistemas de información debería ser marginal, ya que la obligación solo recae sobre operadores de dimensión relevante dentro de cada uno de los sectores considerados, y dado que ya se encuentran obligados a contar con medidas de protección adecuadas en virtud de la normativa sobre protección de infraestructuras críticas. En este punto, la memoria subraya que por el momento no se ha designado operador alguno de servicios esenciales que no tenga la consideración de operador crítico.

En lo que hace al impacto presupuestario, la memoria afirma que "tanto el desarrollo de la Plataforma Nacional de Notificación y Seguimiento de Ciberincidentes, como las medidas de supervisión incluidas en este proyecto de real decreto, serán atendidas con las disponibilidades presupuestarias existentes en cada ejercicio y con los medios personales existentes y no supondrán incremento de dotaciones ni de retribuciones ni de otros gastos de personal". Se insiste en que actualmente no existen operadores de servicios esenciales que no tengan la consideración de operadores críticos, por lo que "la gran mayoría de las autoridades competentes designadas en este real decreto no tendrán, por el momento, sujetos que supervisar".

La memoria aborda también un análisis de las cargas administrativas, en el que destaca que las cargas que se imponen a los operadores y prestadores de servicios en el proyecto fueron ya introducidas por el Real Decreto-ley 12/2018, de 7 de septiembre, sin que la norma proyectada venga a añadir otras nuevas. Las cargas administrativas derivadas de la aplicación del citado real decreto-ley y del proyecto serían la obligación de los proveedores de servicios digitales establecidos en España de notificar su actividad a la autoridad competente; la obligación de los operadores de servicios esenciales de realizar auditorías de seguridad de las redes y sistemas de información que utilicen; y la obligación de notificar los incidentes de seguridad de las redes y sistemas de información con efectos perturbadores significativos en los servicios esenciales o en los servicios digitales. La memoria realiza una estimación cuantitativa de estas cargas, salvo en el caso de la última de las obligaciones citadas, ya que "no es posible saber cuántos incidentes se notificarán al año".

En cuanto a otros posibles impactos, la memoria señala que la norma proyectada carece de impacto de género, de impacto en la infancia y en la adolescencia y de impacto en la familia. Asimismo, destaca el impacto positivo del proyecto sobre la seguridad pública y sobre la seguridad nacional.

La memoria concluye con una referencia a la idoneidad de la norma proyectada para ser susceptible de evaluación ex post, de acuerdo con los resultados de su aplicación

b. Documentación relativa a los trámites de audiencia e información pública: Consta en el expediente que el proyecto de real decreto y su memoria fueron publicados en el portal web correspondiente para su sometimiento al trámite de audiencia e información pública contemplado entre el 23 de julio y el 6 de septiembre de 2019.

En este trámite intervinieron varias asociaciones y fundaciones: Asociación Española de la Banca, Asociación Española para el Fomento de la Seguridad de la Información (ISMS), Fundación Borredá, Information Systems Audit and Control Association (ISACA), Asociación Multisectorial de Empresas de Tecnologías de la Información, Comunicaciones y Electrónica (AMETIC). También presentaron escritos con observaciones la Confederación Española de Organizaciones Empresariales (CEOE), Vodafone, Telefónica, Red Eléctrica de España, Empresa Municipal de Aguas de Málaga (EMASA), Endesa, Enel, Abertis y Renfe, así como varios particulares. Entre las observaciones recibidas destacan especialmente las referidas a los riesgos de seguridad de redes y sistemas de información de terceros o proveedores y las concernientes a la figura del responsable de seguridad de la información.

En el trámite de audiencia y participación pública intervino, asimismo, el Banco de España, que ponía de manifiesto la necesidad de preservar la independencia que el Tratado de Funcionamiento de la Unión Europea atribuye al propio Banco de España, al Banco Central Europeo y al Sistema Europeo de Bancos Centrales. Con esta finalidad, se incluyó en el proyecto una disposición adicional específica que reconoce las peculiaridades de este marco institucional.

El proyecto y su memoria fueron, además, consultados a las comunidades autónomas, a la Federación Española de Municipios y Provincias y a la Comisión Nacional de Administración Local. Obran en el expediente los escritos presentados por la Comunidad Valenciana, Cataluña. Andalucía, Aragón y Madrid. Esta última comunidad autónoma remitía las observaciones formuladas por varias unidades y servicios de la Consejería de Hacienda y Función Pública, de la Consejería de Sanidad (entre ellos, varios informes del Servicio Madrileño de Salud), de la Consejería de Ciencia, Universidades e Innovación, de Metro de Madrid y del Canal de Isabel II. La Federación Española de Municipios y Provincias presentó un escrito en el que únicamente formulaba observaciones de carácter formal, que fueron tenidas en cuenta en el texto final del proyecto.

En estos informes se formulaban numerosas observaciones sobre técnica normativa y de carácter formal, que coincidían en muchas ocasiones con las formuladas por los departamentos y entidades intervinientes, y que fueron en su mayor parte atendidas y recogidas en la versión final del proyecto. Además, varias comunidades autónomas manifestaban la conveniencia de incluir de algún modo en la norma el papel de los CSIRT autonómicos, cuando existan. Según expresa la memoria, estas observaciones no han sido aceptadas en atención a la doctrina sentada por el Tribunal Constitucional en la STC 142/2018, de 20 de diciembre. Tampoco se han aceptado aquellas observaciones que sugerían la previsión de canales de notificación alternativos a la Plataforma Nacional de Notificación y Seguimiento de Ciberincidentes, ya que el propio Real Decreto-ley 12/2018, de 7 de septiembre, indica expresamente que se utilizará una plataforma común para facilitar y automatizar los procesos de notificación, comunicación e información sobre incidentes.

c. Informe de la Abogacía del Estado: En fecha 9 de octubre de 2019, la Abogacía del Estado de la Secretaría de Estado para el Avance Digital informó favorablemente el proyecto de real decreto.

d. Consulta al Banco Central Europeo: En octubre de 2019, y por conducto del Banco de España, se solicitó al Banco Central Europeo su opinión sobre el proyecto de real decreto, en tanto que en él se otorgan al Banco de España nuevas funciones como autoridad a efectos de aplicación de la "normativa NIS" en relación con las entidades financieras que sean identificadas como operadores de servicios esenciales, pero que no sean designados como operadores críticos conforme a la Ley 8/2011, de 28 de abril. Formulada la consulta, el Banco Central Europeo emitió un dictamen, en fecha 11 de noviembre de 2019, en el que mostraba su conformidad con la norma proyectada.

e. Informe de los departamentos ministeriales: Sobre el proyecto y su memoria se consultó a todos los departamentos ministeriales. Se recibieron observaciones de las Secretarías Generales Técnicas de los Ministerios de Justicia, Hacienda, Transportes, Movilidad y Agenda Urbana, Agricultura, Pesca y Alimentación, Trabajo, Migraciones y Seguridad Social, Transición Ecológica e Industria, Turismo y Comercio. Asimismo, el proyecto fue informado por las Secretarías Generales Técnicas de los ministerios proponentes (Ministerio de Asuntos Económicos y Transformación Digital, Ministerio de la Presidencia, Relaciones de Política Territorial y Función Pública, Ministerio de Defensa y Ministerio del Interior).

Los informes de los ministerios formulaban numerosas observaciones de carácter técnico-jurídico, formal y de redacción, que fueron aceptadas prácticamente en su totalidad. Asimismo, también se aceptaron las referidas a algunas remisiones ulteriores al desarrollo reglamentario mediante orden ministerial y a la autoridad competente para modificar el anexo. No se aceptó, en cambio, la observación referida a la necesidad de alinear las definiciones del anexo con los tipos del Código Penal, ya que -según señala la memoria- "dicho anexo tiene una finalidad meramente técnica y se entiende sin perjuicio de la calificación de las conductas y aplicación de los tipos penales por parte de la autoridad judicial". Finalmente, como resultado de las observaciones referidas al impacto económico y presupuestario del proyecto, se procedió a modificar y reforzar el apartado de la memoria que analiza tales impactos.

f. Informe competencial de la Dirección General de Régimen Jurídico Autonómico y Local del Ministerio de Política Territorial y Función Pública: El 26 de marzo de 2020, la mencionada Dirección General emitió un informe en el que analizaba los títulos competenciales en los que se funda la aprobación de la norma proyectada. Afirmaba el informe que tales títulos son, como establece el propio proyecto, las reglas 21.ª y 29.ª del artículo 149.1 de la Constitución, en los que se establece la competencia exclusiva del Estado en materia de telecomunicaciones y en materia de seguridad pública, respectivamente. Analizaba el alcance de estos títulos competenciales, singularmente de las competencias de seguridad pública y, en particular, recuerda la doctrina sobre las competencias en materia de ciberseguridad establecida por el Tribunal Constitucional en su sentencia 142/2018, de 20 de diciembre. El informe consideraba que el proyecto resulta conforme con esta doctrina y formulaba una observación en relación con el artículo 3, que dio lugar a su modificación.

g. Informes de otras entidades consultadas. El proyecto de real decreto y su correspondiente memoria fueron remitidos para informe a la Comisión Nacional de los Mercados y la Competencia (CNMC), a la Comisión Nacional del Mercado de Valores (CNMV), al Consejo de Seguridad Nuclear y a la Agencia Estatal de Protección de Datos (AEPD).

En este trámite, la CNMV no formuló observaciones, mientras que las restantes entidades consultadas presentaron sendos informes sobre el proyecto y su memoria. En lo que hace a las observaciones del Consejo de Seguridad Nuclear, se rechazó la referida al impacto presupuestario del proyecto, que se considera nulo en los términos expuestos en la memoria. En cuanto a la CNMC, valoraba positivamente el proyecto y solicitaba ser incluida en el real decreto proyectado como autoridad competente, como autoridad supervisora en los sectores de telecomunicaciones, transporte y energía y con la finalidad de garantizar que las medidas de seguridad que se adopten son compatibles con la normativa sectorial correspondiente; esta observación fue rechazada por no ser necesario para alcanzar las finalidades expresadas incluir como autoridad competente al organismo regulador. Finalmente, en lo que hace a las observaciones formuladas por la AEPD, fueron aceptadas prácticamente en su totalidad; entre esas observaciones destaca la referida a la imposibilidad de aunar en un mismo sujeto las funciones de delegado de protección de datos y de responsable de la seguridad de la información.

h. Informe de la Oficina de Coordinación y Calidad Normativa: El 26 de septiembre de 2020, emitió informe la Oficina de Coordinación y Calidad Normativa del Ministerio de la Presidencia, Relaciones con las Cortes y Memoria Democrática. En dicho informe se formulaban varias observaciones de técnica normativa y de carácter formal en relación con el proyecto de real decreto, así como varias otras sobre el contenido de la memoria. Tales observaciones fueron tenidas en cuenta en las versiones finales de ambos textos.

i. Comunicación a la Comisión Europea: Consta en el expediente que el proyecto fue comunicado a la Comisión Europea, de conformidad con lo previsto en la Directiva (UE) 2015/1535 del Parlamento Europeo y del Consejo, de 9 de septiembre de 2015, por la que se establece un procedimiento de información en materia de reglamentaciones técnicas y de reglas relativas a los servicios de la sociedad de la información, y en el Real Decreto 1337/1999, de 31 de julio, por el que se regula la remisión de información en materia de normas y reglamentaciones técnicas y reglamentos relativos a los servicios de la sociedad de la información. El período de statu quo expiró el 18 de marzo de 2020, sin que se recibieran observaciones sobre el proyecto.

j. Aprobación previa: En fecha 8 de octubre de 2020, el Secretario de Estado de Política Territorial y Función Pública otorgó, por delegación de la Ministra, la aprobación previa a la que se refiere el artículo 26.5 de la Ley 50/1997, de 27 de noviembre, del Gobierno.

Tercero.- Remisión del proyecto al Consejo de Estado

En este estado de tramitación, el expediente fue remitido al Consejo de Estado para dictamen, donde tuvo entrada el 28 de octubre de 2020. El 10 de noviembre siguiente se recibió en este Consejo, para su incorporación al expediente, un documento de síntesis de las alegaciones formuladas en los trámites de audiencia e información pública. En él se recogía la valoración de las alegaciones formuladas por las entidades intervinientes, con expresión de las razones que conducían a su aceptación o rechazo.

A la vista de tales antecedentes, se hacen las siguientes consideraciones:

I. La evolución de las tecnologías de la información y de la comunicación -protagonizada por el desarrollo de Internet- ha convertido a las redes y sistemas de información en un elemento clave para el desarrollo de la vida en sociedad. Por ello, la falta de seguridad en esas redes y sistemas se perfila como un grave riesgo que es preciso evitar y gestionar. Los incidentes de seguridad que sufren las redes y sistemas de información - crecientes en número y gravedad en los últimos años- pueden causar severos perjuicios de naturaleza económica y social. Incluso, en casos especialmente graves, estos incidentes pueden llegar a representar una amenaza para la seguridad nacional.

Con la finalidad de dar una respuesta efectiva y unitaria a escala europea a estos riesgos y amenazas se aprobó la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión. Esta directiva fue incorporada al ordenamiento español mediante el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información.

El citado real decreto-ley regula la seguridad de las redes y sistemas de información utilizados para la provisión de los que se consideran "servicios esenciales", así como para la prestación de determinados servicios digitales (mercados en línea, motores de búsqueda en línea y servicios de computación en nube). En lo que se refiere a los servicios esenciales, debe tratarse de servicios prestados a través de redes o sistemas de información en alguno de los sectores que se califican como "estratégicos" en el anexo de la Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas.

El Real Decreto-ley introdujo un marco institucional de ciberseguridad, integrado por las autoridades públicas competentes y los llamados "equipos de respuesta a incidentes de seguridad informática (CSIRT) de referencia". Las autoridades competentes ejercerán las funciones de supervisión del cumplimiento de las obligaciones de seguridad derivadas de la norma legal. En cuanto a los CSIRT, son los equipos de respuesta a incidentes que analizan riesgos y supervisan incidentes a escala nacional, difunden alertas sobre ellos y aportan soluciones para mitigar sus efectos. Como explica el preámbulo del Real Decreto-ley 12/2018, el término CSIRT es el usado comúnmente en Europa en lugar del término protegido CERT (Computer Emergency Response Team), registrado en EE. UU. Los CSIRT son la puerta de entrada de las notificaciones de incidentes, lo que permite organizar rápidamente la respuesta frente a ellos, pero el destinatario de las notificaciones es la autoridad competente respectiva, que tendrá en cuenta esta información para la supervisión de los operadores. En todo caso, el operador es responsable de resolver los incidentes y reponer las redes y sistemas de información afectados a su funcionamiento ordinario. El marco institucional sobre ciberseguridad se completa con la cooperación de estas autoridades y los CSIRT con otras autoridades competentes en materia de seguridad de la información, con las autoridades sectoriales y con los operadores y proveedores de servicios a los que la norma se aplica.

El Real Decreto-ley 12/2018 remite al ejercicio de la potestad reglamentaria del Gobierno para su desarrollo, tanto con carácter general (disposición final tercera) como en lo que se refiere a concretos extremos que en él se regulan (artículos 9.1 a), 11.1 a), 11.2, 16.2, 16.3, 19.1 y 19.5). Con este fundamento legal, el objeto del proyecto de real decreto sometido a consulta es el desarrollo de las mencionadas habilitaciones, por lo que el rango de real decreto de la norma proyectada es adecuado. Ello supondrá un paso más en la construcción de un grupo normativo que, para terminar de completarse, precisará o podrá precisar aún de la aprobación de otras normas de rango inferior, como son las obligaciones específicas que sobre medidas de seguridad o sobre notificación de incidentes podrán adoptar las autoridades competentes en cada sector.

El proyecto de real decreto resulta asimismo conforme con el régimen constitucional de distribución de competencias, tal y como se ha puesto de manifiesto en el expediente por la Dirección General de Régimen Jurídico Autonómico y Local del Ministerio de Política Territorial y Función Pública. Su aprobación se fundamenta en las competencias exclusivas del Estado sobre el régimen general de comunicaciones (149.1.21.ª) y en materia de seguridad pública (149.1.29.ª). A la luz de la jurisprudencia constitucional interpretativa de este segundo título competencial, el Consejo de Estado ya destacó en su dictamen n.º 891/2017, de 26 de octubre, que "la conexión entre ciberseguridad y seguridad pública es (...) evidente, pudiendo por tanto entenderse aquélla incardinada en la mencionada competencia exclusiva del Estado (...). Esta conclusión, sin embargo, no impide, (...) que las comunidades autónomas puedan, al amparo de las competencias que sus respectivos Estatutos de Autonomía les reconocen, adoptar determinadas medidas que coadyuven a garantizar la protección de sus infraestructuras y la seguridad de las tecnologías de la información y la comunicación (TIC)". El dictamen que acaba de citarse fue emitido con carácter previo a la interposición del recurso de inconstitucionalidad en relación con la Ley del Parlamento de Cataluña 15/2017, de 25 de julio, de la Agencia de Ciberseguridad de Cataluña. Este recurso fue resuelto por el Tribunal Constitucional en su sentencia 142/2018, de 20 de diciembre, varias veces citada en el expediente.

II. Como consecuencia de la naturaleza de las habilitaciones legales que desarrolla, la norma proyectada es una disposición de carácter eminentemente organizativo, procedimental y técnico. Dada la horizontalidad de la materia que trata, el proyecto ha sido elaborado por un grupo de trabajo interministerial, integrado por varios servicios de los departamentos proponentes, y su tramitación ha estado caracterizada por una amplia participación tanto de los sectores implicados como de la Administración en todos sus niveles territoriales. El resultado ha sido un proyecto normativo que suscita un consenso general, y que ha ido depurándose desde el punto de vista técnico y formal a lo largo de los sucesivos trámites de informe y consulta que se han llevado a cabo.

El grupo normativo conformado por el Real Decreto-ley 12/2018, el proyecto sometido a consulta y otras futuras disposiciones de rango inferior, pretende insertarse en el ordenamiento de forma coherente y coordinada con otras normas previamente aprobadas cuyo objeto tiene una directa vinculación con la seguridad de redes y sistemas de información utilizadas para la prestación de determinados servicios. Así lo declara en su preámbulo el Real Decreto-ley 12/2018, en el que se afirma que "con el fin de aumentar su eficacia y, al tiempo, reducir las cargas administrativas y económicas que estas obligaciones suponen para las entidades afectadas, este real decreto-ley trata de garantizar su coherencia con las que se derivan de la aplicación de otras normativas en materia de seguridad de la información, tanto de carácter horizontal como sectorial, y la coordinación en su aplicación con las autoridades responsables en cada caso".

En particular, el Real Decreto-ley 12/2018 y el proyecto de real decreto que lo desarrolla se han concebido en inmediata conexión con la Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas. Esta conexión deriva de la circunstancia de que las redes y dispositivos cuya seguridad se trata de garantizar mediante la "normativa NIS" son infraestructuras estratégicas sujetas al régimen de protección establecido en la citada Ley 8/2011. La interacción y coherencia entre el grupo normativo al que pertenece el proyecto que se examina y el régimen de protección de las infraestructuras críticas (o "normativa PIC") se ponen de manifiesto fundamentalmente en los siguientes aspectos:

- En primer lugar, el ámbito de aplicación del Real Decreto- ley 12/2018 se extiende más allá de lo establecido en la Directiva NIS, precisamente con la finalidad de alinearse con el ámbito sectorial cubierto por la Ley 8/2011, de 28 de abril. Como explica la memoria del análisis de impacto normativo, el ámbito de aplicación del citado real decreto-ley es más amplio que el de la directiva que transpone, puesto que, además de comprender los sectores especificados en la citada norma europea, incluye otros que son considerados "estratégicos" por la Ley 8/2011, de 28 de abril.

- En segundo lugar, el concepto de "servicio esencial" es coincidente en la Ley 8/2011, de 28 de abril, y en el Real Decreto-ley 12/2018, de 7 de septiembre. En ambas normas legales se define "servicio esencial" como aquel "necesario para el mantenimiento de las funciones sociales básicas, la salud, la seguridad, el bienestar social y económico de los ciudadanos, o el eficaz funcionamiento de las Instituciones del Estado y las Administraciones Públicas" (artículo 2 a) de la Ley 8/2011 y artículo 3 c) del Real Decreto-ley 12/2018). La normativa sobre protección de infraestructuras críticas se aplicará a aquellos servicios esenciales prestados a través de cualesquiera infraestructuras estratégicas, mientras que el real decreto-ley se aplicará únicamente para aquellos servicios esenciales que - dentro de los sectores estratégicos- precisen de redes o sistemas de información para ser prestados.

- Por último, el artículo 6.1 del Real Decreto-ley 12/2018 establece que la identificación de los servicios esenciales y de los operadores que los prestan se hará por parte de los órganos y mediante los procedimientos previstos en la Ley 8/2011, de 28 de abril, y sus disposiciones de desarrollo. Esta remisión conduce a la designación de tales servicios y operadores por parte de la Comisión Nacional para la Protección de las Infraestructuras Críticas (artículo 11 de la Ley 8/2011), a través de los procedimientos establecidos en el Reglamento de protección de las infraestructuras críticas, aprobado por el Real Decreto 704/2011, de 20 de mayo. Además, con carácter expreso, la disposición adicional primera del Real Decreto-ley 12/2018 encomendó a la citada comisión la aprobación de la lista de servicios esenciales y de sus correspondientes operadores en los distintos sectores estratégicos enunciados en el anexo de la Ley 8/2011, de 28 de abril. Como recuerda la memoria, la Comisión Nacional para la Protección de las Infraestructuras Críticas ha dado cumplimiento al referido mandato legal mediante la aprobación de esa lista de servicios y operadores.

Aunque la coordinación entre ambos grupos normativos ("NIS" y "PIC") es sin duda necesaria, en ocasiones se hace difícil identificar las disposiciones aplicables en cada caso, puesto que es preciso integrar las normas sobre seguridad de redes y sistemas de información mediante la lectura de la normativa sobre protección de instalaciones críticas, sin que se facilite esa integración mediante remisiones expresas o mediante delimitaciones también explícitas del modo en que ambos grupos normativos interactúan.

Un ejemplo claro se encuentra en la relación que existe entre los conceptos de "operador crítico" y "operador de servicios esenciales". El primer concepto, el de operador crítico, pertenece a la normativa PIC. La designación de los operadores críticos se lleva a cabo por la Comisión Nacional para la Protección de las Infraestructuras Críticas. El segundo concepto, el de operador de servicios esenciales, es propio de la normativa NIS, y se contempla en el Real Decreto-ley 12/2018, que establece los criterios para determinar cuándo un operador presta servicios esenciales. Teniendo en cuenta el ámbito sectorial coincidente del Real Decreto-ley 12/2018 y de la Ley 8/2011, es posible que un operador reúna los requisitos para ser considerado tanto operador de servicios esenciales de acuerdo con la normativa NIS como, al mismo tiempo, operador crítico a los efectos de la normativa PIC. Por ello, se optó por encomendar a la Comisión Nacional para la Protección de las Infraestructuras Críticas la designación de los operadores de servicios esenciales, que podrán ser a la vez operadores críticos. En la actualidad, como explica la memoria, todos los operadores de servicios esenciales que han sido designados son, a la vez, operadores críticos. Esta relación operadores críticos-operadores de servicios esenciales no se desprende con claridad de las normas integrantes de los grupos normativos que se examinan. En este sentido, el proyecto de real decreto sometido a consulta habría sido una oportunidad para mejorar, por vía reglamentaria, la armonía formal entre ambos grupos. Sin innovar lo establecido en el Real Decreto-ley 12/2018, podrían haberse aclarado -por ejemplo, al hilo de la descripción del ámbito de aplicación del proyecto que se hace en el artículo 2- la relación entre los conceptos de operador crítico y operador de servicios esenciales.

Por otro lado, el proyecto de real decreto utiliza numerosos conceptos que no define, por estar ya su definición contenida en la normativa legal que le sirve de cobertura o en la Ley 8/2011, de 28 de abril. El proyecto ha optado por no reiterar las definiciones legales, salvo en el caso de algunos términos que se recogen en el anexo (ciberseguridad, redes y sistemas de información, servicios esenciales) junto con otros de carácter más netamente técnico. En línea con las consideraciones más arriba apuntadas sobre la necesidad de facilitar la comprensión del proyecto en el marco normativo en el que se inserta, tal vez sería conveniente incluir la definición de algún otro concepto, como el de "operador crítico".

III. Junto a las anteriores observaciones de orden general, se formulan las siguientes de carácter particular:

Preámbulo

El preámbulo hace mención a la disposición final tercera del Real Decreto-ley 12/2018 como fundamento legal de la norma proyectada. Sin embargo, junto a ese fundamento de carácter general, la norma proyectada desarrolla varias habilitaciones legales contenidas en distintos preceptos del real decreto-ley citado. Al describir sucintamente el contenido del proyecto, el propio preámbulo hace referencia a los concretos aspectos legales que se desarrollan, pero no menciona el concreto precepto en el que se contiene la habilitación. Debería añadirse la cita expresa de los preceptos habilitantes.

Artículo 3 ("Autoridades competentes")

El artículo 9.1 del Real Decreto-ley 12/2018 establece cuáles con las autoridades competentes en materia de seguridad de las redes y sistemas de información en relación, respectivamente, con los operadores críticos, operadores esenciales que no tengan la consideración de críticos y los proveedores de servicios esenciales. Sin embargo, para el caso de operadores esenciales que no tengan carácter crítico y que no se encuentren en el ámbito de aplicación de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, la ley se remite al desarrollo reglamentario para la designación de esas autoridades.

Este es el objeto del artículo 3 del proyecto, que ejecuta estricta y directamente la habilitación legal contenida en el artículo 9.1. Sin embargo, con la finalidad de enmarcar el contenido del precepto y de facilitar la comprensión del grupo normativo, se sugiere que en el artículo 3 se recuerde que las autoridades competentes en materia de seguridad de las redes y sistemas de información serán, con carácter general, las indicadas en el artículo 9.1 del Real Decreto-ley; y que, en concreto para los operadores esenciales no críticos y no comprendidos en el ámbito de la Ley 40/2015, dichas autoridades son las que a continuación relaciona el artículo 3 para cada sector estratégico.

Por otro lado, cuando se enuncian las autoridades competentes para los "operadores de servicios esenciales que no sean operadores críticos", podría añadirse "de acuerdo con lo establecido en la Ley 8/2011, de 28 de abril", puesto que en ningún momento se define en el proyecto qué ha de entenderse por operador crítico.

Finalmente, en lo que se refiere al sector de la alimentación, se mencionan el Ministerio de Agricultura, Pesca y Alimentación (a través de la Secretaría General de Agricultura y Alimentación), el Ministerio de Sanidad (a través de la Secretaría de Estado de Sanidad) y el Ministerio de Industria, Comercio y Turismo (a través de la Secretaría de Estado de Comercio). Considera este Consejo, a la vista de la relación de autoridades competentes contemplada en el artículo 3, que el proyecto debería garantizar una participación en el sistema de seguridad de redes y sistemas de información de la Agencia de Seguridad Alimentaria y Nutrición. En el momento en que se inició la tramitación del proyecto normativo objeto del presente dictamen, la mencionada Agencia dependía del Ministerio de Sanidad, circunstancia que ha cambiado tras la aprobación del Real Decreto 495/2020, de 28 de abril, por el que se desarrolla la estructura orgánica básica del Ministerio de Consumo. En virtud de este último real decreto, la Agencia Española de Seguridad Alimentaria y Nutrición ha pasado a depender orgánicamente del Ministerio de Consumo (que no se menciona entre las autoridades competentes que se relacionan en el artículo 3), sin perjuicio de mantener también una dependencia funcional, no solo del citado departamento, sino también del Ministerio de Sanidad y del Ministerio de Agricultura, Pesca y Alimentación. Sería conveniente que el proyecto de real decreto se refiriese a la participación de la Agencia en el marco institucional que se traza, en su articulado o -al menos- en su preámbulo.

Artículo 5 ("Punto de contacto único")

El artículo 5 se refiere a las funciones de coordinación que, como "punto de contacto único", le corresponde desempeñar al Consejo de Seguridad Nacional. El precepto se refiere a la coordinación entre las autoridades nacionales y el "grupo de cooperación". Sin embargo, al menos la primera vez que se hace alusión a él (artículo 5.1) debe especificarse a qué grupo se está haciendo referencia. Debe, por tanto, señalarse de modo expreso que se trata del grupo de cooperación contemplado en el artículo 11 de la Directiva (UE) 2016/1148, integrado por los Estados miembros, la Comisión y la Agencia de Seguridad las Redes y de la Información de la Unión Europea (ENISA).

Artículo 11 ("Plataforma Nacional de Notificación y Seguimiento de Ciberincidentes")

El artículo 11 regula la Plataforma Nacional de Notificación y Seguimiento de Ciberincidentes, a la que se refiere el artículo 19.4 del Real Decreto-ley 12/2018, de 7 de septiembre. La plataforma permitirá el intercambio de información y el seguimiento de incidentes entre los operadores de servicios esenciales o proveedores de servicios digitales, las autoridades competentes y los CSIRT de referencia de manera segura.

En su apartado 5, el artículo 11 dispone que "asimismo, la plataforma implementará el procedimiento de notificación y gestión de incidentes que estará disponible en modalidad 24x7...". La expresión "modalidad 24x7" parece en exceso coloquial e inapropiada para su empleo en una norma jurídica, por lo que se sugiere su sustitución por otra. Podría decirse que el procedimiento estará disponible "durante todas las horas del día y todos los días del año".

Artículo 13 (Actuaciones ante incidentes con carácter presuntamente delictivo)

El artículo 13 establece lo siguiente: "En cumplimiento de lo dispuesto en el artículo 262 del Real Decreto de 14 de septiembre de 1882 por el que se aprueba la Ley de Enjuiciamiento Criminal, la OCC [Oficina de Coordinación Cibernética del Ministerio del Interior] comunicará a la mayor brevedad posible al Ministerio Fiscal, y en su caso a la Policía Judicial, aquellos incidentes de seguridad que le sean notificados y que revistan carácter delictivo, trasladando al tiempo la información que posea en relación con ello. A dicho fin podrá requerir de los operadores afectados o de los CSIRT de referencia cuanta información relacionada con el incidente se estime necesaria".

La cita expresa de la Ley de Enjuiciamiento Criminal no parece necesaria, pero, de mantenerse, debe hacerse referencia al artículo 262 de la propia ley y no del real decreto aprobatorio. Por otro lado, lo que debe comunicarse al Ministerio Fiscal y, en su caso, a la Policía Judicial no son los incidentes "que revistan carácter delictivo", sino más propiamente -y como indica el título del precepto- los que "revistan carácter presuntamente delictivo".

Por otro lado, la mención que el artículo 13 hace a la comunicación de los hechos presuntamente delictivos "en su caso, a la Policía Judicial" precisa de una mayor concreción. A pesar de que inmediatamente antes se cita la Ley de Enjuiciamiento Criminal, el precepto no parece querer referirse al concepto genérico de Policía Judicial que emplean tanto el artículo 283 de dicha ley como el artículo 547 de la Ley Orgánica 6/1985, de 1 de julio, del Poder Judicial. Parece, en cambio, aludir a la Policía Judicial específica a la que se refieren los artículos 548 y siguientes de la citada Ley Orgánica del Poder Judicial, así como los artículos 29 y siguientes de la Ley Orgánica 2/1986, de 13 de marzo, de Fuerzas y Cuerpos de Seguridad del Estado. Por ello, en lugar de hacer una mención genérica a la Policía Judicial, sería preferible que el artículo 13 se refiriese a la comunicación, "en su caso, a las Unidades orgánicas de Policía Judicial competentes".

Anexo ("Instrucción nacional de notificación y gestión de ciberincidentes")

El artículo 3 del Real Decreto-ley 12/2018 contiene la definición de varios conceptos, entre los que se encuentran los siguientes: "d) Operador de servicios esenciales: entidad pública o privada que se identifique considerando los factores establecidos en el artículo 6 de este real decreto-ley, que preste dichos servicios en alguno de los sectores estratégicos definidos en el anexo de la Ley 8/2011, de 28 de abril.

e) Servicio digital: servicio de la sociedad de la información entendido en el sentido recogido en la letra a) del anexo de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico".

El apartado 7 del anexo del real decreto proyectado define también estos conceptos, del siguiente modo:

"Operador de servicios esenciales: una entidad pública o privada de uno de los tipos que figuran en el anexo II, que reúna los criterios establecidos en el artículo 5, apartado 2 de la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016.

Servicio digital: un servicio en el sentido del artículo 1, apartado 1, letra b), de la Directiva (UE) 2015/1535 del Parlamento Europeo y del Consejo que sea de uno de los tipos que figuran en el anexo III de la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016".

Como puede apreciarse, los conceptos de "operador de servicios esenciales" y de "servicio digital" se definen de forma distinta en el Real Decreto-ley 12/2018 y en el anexo del proyecto que se consulta. Considera el Consejo de Estado que las definiciones de estos conceptos que se incluyen en el anexo deben formularse en los términos literales del real decreto-ley que el proyecto viene a desarrollar, en lugar de definirse por remisión a lo dispuesto en las correspondientes directivas europeas. En el caso de los servicios esenciales, esa definición ofrecida por remisión a las directivas es sustancialmente coincidente con la que se deriva de la lectura conjunta de los artículos 3 e) y 2.1 b) del Real Decreto- ley 12/2018. Por ello, la observación que aquí se hace no pretende poner de manifiesto una discrepancia de fondo entre las definiciones que se comparan, sino armonizar los términos del proyecto del anexo con los de la norma legal que le sirve de fundamento en beneficio de la claridad del grupo normativo y, en último término, de la seguridad jurídica.

En cambio, en relación con el concepto de "operador de servicios esenciales", la observación que se formula es de legalidad, porque la definición que se incluye en el proyecto por remisión a la Directiva (UE) 2016/1148 no solo no coincide con la establecida en el artículo 3 d) del Real Decreto-ley 12/2018 en su literalidad, sino tampoco en lo que se refiere a la delimitación del propio concepto. Como ya se ha puesto de manifiesto tanto en los antecedentes como en las consideraciones del presente dictamen, el Real Decreto-ley 12/2018 refiere la noción de "operador de servicios esenciales" a todos los sectores estratégicos comprendidos en el ámbito de la Ley 8/2011, entre los que figuran algunos sectores que no se incluyen en el anexo II de la Directiva 2016/1148. El proyecto, en cambio, circunscribe el concepto a los sectores enunciados en ese anexo.

Esta última observación tiene carácter esencial a los efectos de lo establecido en el artículo 130.3 del Reglamento Orgánico del Consejo de Estado, aprobado por el Real Decreto 1674/1980, de 18 de julio.

En mérito de lo expuesto, el Consejo de Estado es de dictamen:

Que, una vez tenida en cuenta la observación esencial al apartado 7 del anexo y consideradas las restantes formuladas en el cuerpo del presente dictamen, puede V. E. elevar al Consejo de Ministros, para su aprobación, el proyecto de Real Decreto sometido a consulta."

V. E., no obstante, resolverá lo que estime más acertado.

Madrid, 26 de noviembre de 2020

LA SECRETARIA GENERAL,

LA PRESIDENTA,

EXCMA. SRA. VICEPRESIDENTA TERCERA DEL GOBIERNO Y MINISTRA DE ASUNTOS ECONÓMICOS Y TRANSFORMACIÓN DIGITAL.