El Gobierno podr¨¢ multar con un mill¨®n de euros a las grandes empresas que oculten ciberataques
La futura ley protege de represalias a los empleados que denuncien incidentes inform¨¢ticos no reconocidos por las compa?¨ªas
El Gobierno podr¨¢ imponer multas de entre medio mill¨®n y un mill¨®n de euros a los operadores de servicios esenciales y proveedores de servicios digitales que incurran en infracciones muy graves en materia de ciberseguridad, seg¨²n el borrador del anteproyecto de Ley sobre la Seguridad de las Redes y Sistemas de Informaci¨®n que el Ministerio de Energ¨ªa, Turismo y Agenda Digital ha puesto en audiencia p¨²blica.
El anteproyecto traspone a la legislaci¨®n espa?ola la Directiva 2016/1148 del Parlamento Europeo y del Consejo, conocida como directiva NIS, que por vez primera contempla la imposici¨®n de sanciones por incumplir las normas de ciberseguridad a los operadores cr¨ªticos (energ¨ªa, agua, transporte, salud, banca, etc) y a los proveedores de servicios digitales (buscadores, comercio electr¨®nico, computaci¨®n en nube, etc), pero deja en manos de los Estados la tipificaci¨®n de las faltas y el importe de las sanciones.
Aunque la mayor¨ªa de las empresas denuncian ya los ciberataques de los que son v¨ªctimas, algunas los ocultan por temor a ver da?ada su imagen o tener que indeminizar a los clientes afectados. La futura ley no solo sanciona estas conductas sino que protege a los empleados o subcontratistas que denuncien estos hechos, quienes "no podr¨¢n sufrir consecuencias adversas en su puesto de trabajo o con la empresa", salvo que "se acredite mala fe" en su denuncia.
El texto considera infracciones muy graves no adoptar las medidas requeridas por la autoridad competente cuando ello haya hecho vulnerable a la empresa a un ciberincidente con efectos significativos en el servicio; el incumplimiento reiterado (m¨¢s de dos veces) de la obligaci¨®n de notificar incidentes importantes; y el no tomar las medidas necesarias para resolver incidentes que tengan un impacto significativo en servicios esenciales o digitales en Espa?a u otros pa¨ªses de la UE.
Como infracciones graves, sancionables con multa de 100.001 a 500.000 euros, incluye el incumplimiento de las precauciones m¨ªnimas a adoptar por los operadores de servicios esenciales; desatender tres veces en cinco a?os los requerimientos para subsanar incumplimientos en materia de ciberseguridad: no notificar incidentes importantes; y demostrar falta de inter¨¦s en la resoluci¨®n de incidentes que degraden la calidad del servicio.
Finalmente, ccalifica como faltas leves, sancionables con amonestaci¨®n o multa de hasta 100.000 euros, el incumplimiento de las normas de seguridad que no constituya infracci¨®n grave; la falta de adopci¨®n de las medidas requeridas para corregir incumplimientos detectados; no someterse a una auditor¨ªa de seguridad o poner obst¨¢culos a la Administraci¨®n para hacerla; no proporcionar la informaci¨®n solicitada; la falta de notificaci¨®n de incidentes de menor entidad; facilitar informaci¨®n incompleta sobre los incidentes; o no cumplir las indicaciones del CSIRT (Equipo de Respuesta a Incidentes Cibern¨¦ticos, por sus siglas en ingl¨¦s) correpondiente.
Las autoridades competentes para imponer las sanciones muy graves, que se puiblicar¨¢n en el BOE,? ser¨¢n los ministros de Interior, para los operadores cr¨ªticos de servicios esenciales, y Energ¨ªa, para los proveedores de servicios digitales, as¨ª como el departamento de Presidencia para los que no tengan car¨¢cter cr¨ªtico.
Aunque la ley afecta a ambos tipos de empresa, no les da el mismo tratamiento. A los proveedores de servicios esenciales la Administraci¨®n podr¨¢ requerirles informaci¨®n sobre la aplicaci¨®n efectiva de su pol¨ªtica de seguridad, as¨ª como auditarles o exigirles que se sometan a una auditor¨ªa ¡°externa, solvente e independiente¡±. En cambio, ¡°solo inspeccionar¨¢ el cumplimiento de las obligaciones derivadas de esta ley [por parte de los proveedores de servicios digitales] cuando tenga noticia de alg¨²n incumplimiento por petici¨®n razonada de otros ¨®rganos o denuncia¡±.
En aplicaci¨®n de la directiva europea, la ley crea un "punto de contacto ¨²nico" para comunicar iincidentes con otros pa¨ªses de la UE, que se¨¢ Consejo de Seguridad Nacional,? y mantiene los actuales CERT (Equipo de Respuesta de Emergencia Cibern¨¦tica), que pasan a denominarse CIRT: el Centro Criptol¨®gico Nacional (CCN), para la Administraci¨®n P¨²blica; el Instituto Nacional de Ciberseguridad (INCIBE), para las empresas privadas; y el Mando Consjunto de Ciberdefensa, para las Fuerzas Armadas.No obstante, da preeminecia al CCN al se?alar que "en los supuestos de especial gravedad [...] ejercer¨¢ la coordinaci¨®n nacional de la respuesta t¨¦cnica".
El borrador del anteproyecto de ley est¨¢ colgado en la web www.minetad.gob.es y las observaciones pueden remitirse hasta el pr¨®ximo 8 de enero a la direcci¨®n sgssi@minetad.es, mientras que el plazo que tienen los estados de la UE para trasponer la directiva NIS concluye en mayo pr¨®ximo.
Tu suscripci¨®n se est¨¢ usando en otro dispositivo
?Quieres a?adir otro usuario a tu suscripci¨®n?
Si contin¨²as leyendo en este dispositivo, no se podr¨¢ leer en el otro.
FlechaTu suscripci¨®n se est¨¢ usando en otro dispositivo y solo puedes acceder a EL PA?S desde un dispositivo a la vez.
Si quieres compartir tu cuenta, cambia tu suscripci¨®n a la modalidad Premium, as¨ª podr¨¢s a?adir otro usuario. Cada uno acceder¨¢ con su propia cuenta de email, lo que os permitir¨¢ personalizar vuestra experiencia en EL PA?S.
En el caso de no saber qui¨¦n est¨¢ usando tu cuenta, te recomendamos cambiar tu contrase?a aqu¨ª.
Si decides continuar compartiendo tu cuenta, este mensaje se mostrar¨¢ en tu dispositivo y en el de la otra persona que est¨¢ usando tu cuenta de forma indefinida, afectando a tu experiencia de lectura. Puedes consultar aqu¨ª los t¨¦rminos y condiciones de la suscripci¨®n digital.
Sobre la firma
