SEGURIDAD DE LAS REDES Y SISTEMAS DE INFORMACIÓN

Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información. 
 
Lo objeto del presente Real Decreto-ley es regular la seguridad de las redes y sistemas de información utilizados para la provisión de los servicios esenciales y de los servicios digitales, y establecer un sistema de notificación de incidentes.

El Real Decreto-ley se aplicará a las entidades que presten servicios esenciales para la comunidad y dependan de las redes y sistemas de información para el desarrollo de su actividad. Adicionalmente, en el caso de las actividades de explotación de las redes y de prestación de servicios de comunicaciones electrónicas y los recursos asociados, así como de los servicios electrónicos de confianza, expresamente excluidos de dicha Directiva, el Real Decreto-ley se aplicará únicamente en lo que respecta a los operadores críticos.
El Real Decreto-ley se aplicará, así mismo, a los proveedores de determinados servicios digitales que tengan su sede social en España y que constituya su establecimiento principal en la Unión Europea, así como los que, no estando establecidos en la Unión Europea, designen en España a su representante en la Unión para el cumplimiento de la Directiva (UE) 2016/1148.
Los operadores de servicios esenciales y los proveedores de servicios digitales deberán adoptar medidas adecuadas para gestionar los riesgos que se planteen para la seguridad de las redes y sistemas de información que utilicen, aunque su gestión esté externalizada. Las obligaciones de seguridad que asuman deberán ser proporcionadas al nivel de riesgo que afronten y estar basadas en una evaluación previa de los mismos.

El Real Decreto-ley requiere así mismo que los operadores de servicios esenciales y los proveedores de servicios digitales notifiquen los incidentes que sufran en las redes y servicios de información que emplean para la prestación de los servicios esenciales y digitales, y tengan efectos perturbadores significativos en los mismos, al tiempo que prevé la notificación de los sucesos o incidencias que puedan afectar a los servicios esenciales.

Son establecidas las autoridades competentes en materia de seguridad de las redes y sistemas de información de la siguiente forma:

  • Para los operadores de servicios esenciales que sean, además, designados como operadores críticos es la Secretaría de Estado de Seguridad, del Ministerio del Interior, a través del Centro Nacional de Protección de Infraestructuras y Ciberseguridad (CNPIC).
  • Para los operadores de servicios esenciales que no sean operadores críticos, la autoridad competente es la autoridad sectorial correspondiente por razón de materia, según se determine reglamentariamente.
  • Para los proveedores de servicios digitales la autoridad competente es la Secretaría de Estado para el Avance Digital, del Ministerio de Economía y Empresa.
  • Para los operadores de servicios esenciales y proveedores de servicios digitales que no siendo operadores críticos se encuentren comprendidos en el ámbito de aplicación de la Ley 40/2015, de 1 de octubre, se constituye el Ministerio de Defensa, a través del Centro Criptológico Nacional.


El Consejo de Seguridad Nacional, a través de su comité especializado en materia de ciberseguridad, establecerá los mecanismos necesarios para la coordinación de las actuaciones de las autoridades competentes.

El presente Real Decreto-ley entró en vigor al día 9 de septiembre de 2018.