Preguntas frecuentes sobre Real Decreto 43/2021
Índice
- ¿Qué son el Real Decreto-ley 12/2018, de 7 de septiembre, y el Real Decreto 43/2021, de 26 de enero?
- Soy una empresa privada, ¿me afecta el Real Decreto-ley 12/2018, de 7 de septiembre y el Real Decreto 43/2021, de 26 de enero?
- ¿Qué es un operador de servicio esencial?
- ¿Qué es un proveedor de servicios digitales?
- ¿Qué es un operador crítico?
- ¿Quién es una autoridad competente para los operadores de servicios esenciales?
- ¿Quién designa qué organizaciones son operadores de servicios esenciales?
- ¿Quién es una autoridad competente para los operadores críticos?
- ¿Quién designa qué organizaciones son operadores críticos?
- ¿Quién es una autoridad competente para los proveedores de servicios digitales?
- ¿Quién designa qué organizaciones son proveedores de servicios digitales?
- ¿Cómo se designa un operador de servicio esencial?
- ¿Cómo se designa un operador crítico?
- Mi empresa durante el estado de alarma de 2020 fue designada operador de servicio esencial, ¿estaría dentro del alcance del Real Decreto 43/2021?
- ¿Cómo puedo saber si mi empresa ha sido designada como operador crítico, operador de servicios esenciales?
- ¿Estoy obligado a notificar incidentes? ¿A quién? ¿Cómo? ¿Qué? ¿Cuándo?
- ¿Hay un régimen sancionador?
- Enlaces de interés
¿Qué son el Real Decreto-ley 12/2018, de 7 de septiembre, y el Real Decreto 43/2021, de 26 de enero?
La fiabilidad y seguridad de las redes y sistemas de información son esenciales para las actividades económicas y sociales, tanto para la Unión Europea como para nuestro país, siendo fundamental reforzar su ciberseguridad.
Así se recoge en la Directiva de la UE 2016/1148 (conocida como Directiva NIS) relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión, así como en su trasposición al ordenamiento jurídico español a través del Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información.
El objeto del Real Decreto-ley 12/2018 de 7 de septiembre es el de establecer mecanismos que, con una perspectiva integral, permitan mejorar la protección frente a las amenazas que afectan a las redes y sistemas de información, facilitando la coordinación de las actuaciones realizadas en esta materia tanto a nivel nacional como con los países de nuestro entorno, en particular, dentro de la Unión Europea. Entre otros extremos, regula la seguridad de las redes y sistemas de información utilizados para la provisión de los servicios esenciales y de los servicios digitales, además de establecer un sistema de notificación de incidentes. Asimismo, establece un marco institucional para la coordinación entre autoridades competentes y con los órganos de cooperación relevantes en el ámbito comunitario. Se aplicará a entidades que presten servicios esenciales, así como a proveedores de determinados servicios digitales. Estos deberán notificar los incidentes que sufran en las redes y servicios de información que emplean para la prestación de los servicios esenciales y digitales, y tengan efectos perturbadores significativos en los mismos, así como los sucesos o incidencias que puedan afectar a los servicios esenciales, pero que aún no hayan tenido un efecto adverso real sobre aquellos, perfilando los procedimientos de notificación.
Dentro de este contexto, el Real Decreto-ley 12/2018, de 7 de septiembre, reconoce a INCIBE-CERT como centro de respuesta a incidentes de seguridad de referencia y alerta temprana para los ciudadanos y entidades de derecho privado en España, operado por el Instituto Nacional de Ciberseguridad (INCIBE), dependiente del Ministerio de Asuntos Económicos y Transformación Digital, a través de la Secretaría de Estado de Digitalización e Inteligencia Artificial (SEDIA).
En el caso de la gestión de incidentes que afecten a operadores críticos del sector privado, INCIBE-CERT está operado conjuntamente por INCIBE y por la Oficina de Coordinación de Ciberseguridad (OCC)[i], de la Secretaría de Estado de Seguridad del Ministerio del Interior.
Cabe destacar, dentro del marco Real Decreto-ley 12/2018, de 7 de septiembre, la relevancia que tiene INCIBE-CERT como centro de respuesta a incidentes de seguridad para los proveedores de servicios digitales y operadores de servicios esenciales.
Por otro lado, a través del Real Decreto 43/2021, de 26 de enero, por el que se desarrolla el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información desarrolla esta disposición y define, entre otras cuestiones, la cooperación y coordinación de los CSIRT de referencia: CCN-CERT, MCCE e INCIBE-CERT, así como las tareas y apoyo de los CSIRT de referencia a los operadores críticos, operadores de servicios esenciales, proveedores de servicios digitales, las autoridades competentes, la Oficina de Coordinación de Ciberseguridad, entre otros.
Soy una empresa privada, ¿me afecta el Real Decreto-ley 12/2018, de 7 de septiembre y el Real Decreto 43/2021, de 26 de enero?
Tal y como se indica en el RDL 12/2018, esta legislación aplica a las empresas privadas que sean designadas operadores de servicios esenciales o consideradas proveedores de servicios digitales, con las consideraciones que en cada caso recoge este Real Decreto-ley.
En el RDL 12/2018, en particular en el artículo 2 de Ámbito de aplicación, dice lo siguiente:
Artículo 2. Ámbito de aplicación.
1. Este Real Decreto-ley se aplicará a la prestación de:
a) Los servicios esenciales dependientes de las redes y sistemas de información comprendidos en los sectores estratégicos definidos en el anexo de la Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas.
b) Los servicios digitales, considerados conforme se determina en el artículo 3 e), que sean mercados en línea, motores de búsqueda en línea y servicios de computación en nube.
2. Estarán sometidos a este Real Decreto-ley:
a) Los operadores de servicios esenciales establecidos en España. Se entenderá que un operador de servicios esenciales está establecido en España cuando su residencia o domicilio social se encuentren en territorio español, siempre que éstos coincidan con el lugar en que esté efectivamente centralizada la gestión administrativa y la dirección de sus negocios o actividades.
Así mismo, este Real Decreto-ley será de aplicación a los servicios esenciales que los operadores residentes o domiciliados en otro Estado ofrezcan a través de un establecimiento permanente situado en España.
b) Los proveedores de servicios digitales que tengan su sede social en España y que constituya su establecimiento principal en la Unión Europea, así como los que, no estando establecidos en la Unión Europea, designen en España a su representante en la Unión para el cumplimiento de la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión.
¿Qué es un operador de servicio esencial?
Un operador de servicio esencial, tal y como se recoge en el RDL 12/2018, es aquella organización pública o privada que presta un servicio necesario para el mantenimiento de las funciones sociales básicas tales como la salud, la seguridad, el bienestar social y económico de los ciudadanos, que preste esos servicios en alguno de los sectores estratégicos de la Ley 8/2011 de Protección de las Infraestructuras Criticas, y que dependa para esa provisión de servicios de redes y sistemas de información.
En el RDL 12/2018, en particular en el artículo 3 de definiciones, indica lo siguiente
c) Servicio esencial: servicio necesario para el mantenimiento de las funciones sociales básicas, la salud, la seguridad, el bienestar social y económico de los ciudadanos, o el eficaz funcionamiento de las Instituciones del Estado y las Administraciones Públicas, que dependa para su provisión de redes y sistemas de información.
d) Operador de servicios esenciales: entidad pública o privada que se identifique considerando los factores establecidos en el artículo 6 de este Real Decreto-ley, que preste dichos servicios en alguno de los sectores estratégicos definidos en el anexo de la Ley 8/2011, de 28 de abril.
Los criterios por los que se identifica un operador de servicio esencial vienen definido en el Real Decreto-ley 12/2018 en el artículo 6 que indica lo siguiente:
Artículo 6. Identificación de servicios esenciales y de operadores de servicios esenciales.
1. La identificación de los servicios esenciales y de los operadores que los presten se efectuará por los órganos y procedimientos previstos por la Ley 8/2011, de 28 de abril, y su normativa de desarrollo.
La relación de los servicios esenciales y de los operadores de dichos servicios se actualizará, para cada sector, con una frecuencia bienal, en conjunción con la revisión de los planes estratégicos sectoriales previstos en la Ley 8/2011, de 28 de abril.
Se identificará a un operador como operador de servicios esenciales si un incidente sufrido por el operador puede llegar a tener efectos perturbadores significativos en la prestación del servicio, para lo que se tendrán en cuenta, al menos, los siguientes factores:
a) En relación con la importancia del servicio prestado:
1.º La disponibilidad de alternativas para mantener un nivel suficiente de prestación del servicio esencial;
2.º La valoración del impacto de un incidente en la provisión del servicio, evaluando la extensión o zonas geográficas que podrían verse afectadas por el incidente; la dependencia de otros sectores estratégicos respecto del servicio esencial ofrecido por la entidad y la repercusión, en términos de grado y duración, del incidente en las actividades económicas y sociales o en la seguridad pública.
b) En relación con los clientes de la entidad evaluada:
1.º El número de usuarios que confían en los servicios prestados por ella;
2.º Su cuota de mercado.
Reglamentariamente podrán añadirse factores específicos del sector para determinar si un incidente podría tener efectos perturbadores significativos.
2. En el caso de tratarse de un operador crítico designado en cumplimiento de la Ley 8/2011, de 28 de abril, bastará con que se constate su dependencia de las redes y sistemas de información para la provisión del servicio esencial de que se trate.
3. En la identificación de los servicios esenciales y de los operadores de servicios esenciales se tendrán en consideración, en la mayor medida posible, las recomendaciones pertinentes que adopte el grupo de cooperación.
4. Cuando un operador de servicios esenciales ofrezca servicios en otros Estados miembros de la Unión Europea, se informará a los puntos de contacto único de dichos Estados sobre la intención de identificarlo como operador de servicios esenciales.
¿Qué es un proveedor de servicios digitales?
Un proveedor de servicios digitales, tal y como se recoge en el Real Decreto-ley 12/2018, es aquella persona jurídica que presta un servicio digital (de tipo mercados en línea, motores de búsqueda en línea o servicios de computación en nube), que tengan su sede social en España y que constituya su establecimiento principal en la Unión Europea, pero que no sea una microempresa o pequeña empresa, de acuerdo con las definiciones recogidas en la Recomendación 2003/361/CE de la Comisión.
En el RD 43/2021 en su artículo 2 indica
1. De conformidad con el artículo 2 del Real Decreto-ley 12/2018, de 7 de septiembre, este real decreto se aplicará a la prestación de: [..]
b) Los servicios digitales que sean mercados en línea, motores de búsqueda en línea y servicios de computación en nube.
En el RDL 12/2018 en el artículo 3, señala:
e) Servicio digital: servicio de la sociedad de la información entendido en el sentido recogido en la letra a) del anexo de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico.
f) Proveedor de servicios digitales: persona jurídica que presta un servicio digital.
q) Mercado en línea: servicio digital que permite a los consumidores y a los empresarios, tal y como se definen respectivamente en los artículos 3 y 4 del texto refundido de la Ley General para la Defensa de los Consumidores y Usuarios y otras leyes complementarias, aprobado mediante el Real Decreto Legislativo 1/2007, de 16 de noviembre, celebrar entre sí contratos de compraventa o de prestación de servicios en línea con empresarios, ya sea en un sitio web específico del servicio de mercado en línea, o en un sitio web de un empresario que utilice servicios informáticos proporcionados al efecto por el proveedor del servicio de mercado en línea.
r) Motor de búsqueda en línea: servicio digital que permite a los usuarios hacer búsquedas de, en principio, todos los sitios web o de sitios web en una lengua en concreto, mediante una consulta sobre un tema en forma de palabra clave, frase u otro tipo de entrada, y que, en respuesta, muestra enlaces en los que puede encontrarse información relacionada con el contenido solicitado.
s) Servicio de computación en nube: servicio digital que hace posible el acceso a un conjunto modulable y elástico de recursos de computación que se pueden compartir.
¿Qué es un operador crítico?
Un operador crítico, tal y como se recoge en la Ley 8/2011 de Protección de las Infraestructuras Críticas, es aquella organización pública o privada que es responsable del funcionamiento de una infraestructura en la que exista una instalación, red, sistema, o equipo físico o de tecnología de la información, catalogada como crítica por resultar indispensable y que no permite soluciones alternativas, ya sea por una perturbación o destrucción, y que por lo tanto su incorrecto funcionamiento tendría un grave impacto sobre los servicios esenciales.
Si tomamos como referencia la Ley de Protección de las Infraestructuras Criticas (PIC) 8/2011, de 28 de abril, con el artículo 2:
e) Infraestructuras críticas: las infraestructuras estratégicas cuyo funcionamiento es indispensable y no permite soluciones alternativas, por lo que su perturbación o destrucción tendría un grave impacto sobre los servicios esenciales
m) Operadores críticos: las entidades u organismos responsables de las inversiones o del funcionamiento diario de una instalación, red, sistema, o equipo físico o de tecnología de la información designada como infraestructura crítica con arreglo a la presente Ley
Hay que tener en cuenta que el Real Decreto-ley 12/2018 y el del Real Decreto 43/2021 es del ámbito de aplicación en los operadores críticos junto con la Ley 8/2011 de Protección de las Infraestructuras Críticas
Por otro lado en el RDL 12/2018 indica en el artículo 9:
1. Son autoridades competentes en materia de seguridad de las redes y sistemas de información las siguientes:
a) Para los operadores de servicios esenciales:
1.º En el caso de que éstos sean, además, designados como operadores críticos conforme a la Ley 8/2011, de 28 de abril, y su normativa de desarrollo, con independencia del sector estratégico en que se realice tal designación: la Secretaría de Estado de Seguridad, del Ministerio del Interior, a través del Centro Nacional de Protección de Infraestructuras y Ciberseguridad (CNPIC).
Es decir que un operador de servicio esencial puede además ser designado como operador crítico y por tanto su autoridad competente pasa a ser la Secretaría de Estado de Seguridad a través de la Oficina de Coordinación de Ciberseguridad (OCC). Por lo tanto, un operador crítico siempre es un operador de servicio esencial, pero un operador de servicio esencial no tiene por qué ser crítico y en esos casos su autoridad competente viene recogida en el RD 43/2021, en su artículo 3.
¿Quién es una autoridad competente para los operadores de servicios esenciales?
En el RD 43/2021, en su artículo 3, se indica quiénes son las autoridades competentes:
Las autoridades competentes en materia de seguridad de las redes y sistemas de información serán, con carácter general, las establecidas en el artículo 9.1 del Real Decreto-ley 12/2018, de 7 de septiembre. En particular, son autoridades competentes para los operadores de servicios esenciales que no sean operadores críticos de acuerdo con la Ley 8/2011, de 28 de abril, y que no estén incluidos en el ámbito de aplicación de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, las siguientes:
a) Respecto al sector del transporte: el Ministerio de Transportes, Movilidad y Agenda Urbana, a través de la Secretaría de Estado de Transportes, Movilidad y Agenda Urbana.
b) Respecto al sector de la energía: el Ministerio para la Transición Ecológica y el Reto Demográfico, a través de la Secretaría de Estado de Energía.
c) Respecto al sector de las tecnologías de la información y las telecomunicaciones: el Ministerio de Asuntos Económicos y Transformación Digital, a través de la Secretaría de Estado de Digitalización e Inteligencia Artificial y la Secretaría de Estado de Telecomunicaciones e Infraestructuras Digitales.
d) Respecto al sector del sistema financiero:
1.º El Ministerio de Asuntos Económicos y Transformación Digital, a través de la Secretaría de Estado de Economía y Apoyo a la Empresa, en el ámbito de los seguros y fondos de pensiones.
2.º El Banco de España, para las entidades de crédito.
3.º La Comisión Nacional del Mercado de Valores, para las entidades que prestan servicios de inversión y las sociedades gestoras de instituciones de inversión colectiva.
e) Respecto al sector del espacio: el Ministerio de Defensa, a través de la Secretaría de Estado de Defensa.
f) Respecto al sector de la industria química: el Ministerio de Interior, a través de la Secretaría de Estado de Seguridad.
g) Respecto al sector de las instalaciones de investigación: el Ministerio de Ciencia e Innovación, a través de la Secretaría General de Investigación.
h) Respecto al sector de la salud: el Ministerio de Sanidad, a través de la Secretaría de Estado de Sanidad.
i) Respecto al sector del agua: el Ministerio para la Transición Ecológica y el Reto Demográfico, a través de la Secretaría de Estado de Medio Ambiente.
j) Respecto al sector de la alimentación:
1.º El Ministerio de Agricultura, Pesca y Alimentación, a través de la Secretaría General de Agricultura y Alimentación.
2.º El Ministerio de Sanidad, a través de la Secretaría de Estado de Sanidad.
3.º El Ministerio de Industria, Comercio y Turismo, a través de la Secretaría de Estado de Comercio.
4.º El Ministerio de Consumo, a través de la Agencia Española de Seguridad Alimentaria y Nutrición (AESAN).
k) Respecto al sector de la industria nuclear:
1.º El Ministerio para la Transición Ecológica y el Reto Demográfico, a través de la Secretaría de Estado de Energía.
2.º El Consejo de Seguridad Nuclear.
¿Quién designa qué organizaciones son operadores de servicios esenciales?
En relación con la designación de los operadores de servicios esenciales, tal y como se define en el Real Decreto-ley 12/2018, artículo 6, y el RD 43/2021 artículo 2 (explicados en el punto ¿Qué es un operador de servicio esencial?) la identificación de los servicios esenciales y los operadores que los presten se efectuará por los órganos y procedimientos previstos por la Ley 8/2011, y su normativa de desarrollo, el Real Decreto 704/2011:
2. Estarán sometidos a este Real Decreto:
a) Los operadores de servicios esenciales establecidos en España. Se entenderá que un operador de servicios esenciales está establecido en España cuando su residencia o domicilio social se encuentren en territorio español, siempre que estos coincidan con el lugar en que esté efectivamente centralizada la gestión administrativa y la dirección de sus negocios o actividades.
Así mismo, este Real Decreto será de aplicación a los servicios esenciales que los operadores residentes o domiciliados en otro Estado ofrezcan a través de un establecimiento permanente situado en España.
De conformidad con lo previsto en el apartado 1 del artículo 6 del Real Decreto-ley 12/2018, la identificación de los servicios esenciales y de los operadores que los presten se efectuará por los órganos y procedimientos previstos por la Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas, y su normativa de desarrollo, en particular el Real Decreto 704/2011, de 20 de mayo, por el que se aprueba el Reglamento de protección de las infraestructuras críticas.
En relación con los órganos y procedimientos previstos, la ley 8/2011 recoge:
Artículo 11. Comisión Nacional para la Protección de las Infraestructuras Críticas.
1. Se crea la Comisión Nacional para la Protección de las Infraestructuras Críticas (en adelante, la Comisión) como órgano colegiado adscrito a la Secretaría de Estado de Seguridad.
El Real Decreto 704/2011 recoge:
Artículo 11. La Comisión Nacional para la Protección de las Infraestructuras Críticas.
1. La Comisión Nacional para la Protección de las Infraestructuras Críticas (en adelante, la Comisión) desempeñará las siguientes funciones:
[…]
c) Llevar a cabo las siguientes actuaciones a propuesta del Grupo de Trabajo:
Designar a los operadores críticos.
4. […] La secretaría de la Comisión radicará en el Director del CNPIC.
5. La Comisión será asistida por el Grupo de Trabajo Interdepartamental para la Protección de las Infraestructuras Críticas.
¿Quién es una autoridad competente para los operadores críticos?
El RDL 12/2018 distingue en su artículo 9 que para los operadores designados como operadores críticos conforme a la Ley 8/2011, de 28 de abril, y su normativa de desarrollo, con independencia del sector estratégico en que se realice tal designación, la autoridad es la Secretaría de Estado de Seguridad a través de la Oficina de Coordinación de Ciberseguridad.
¿Quién designa qué organizaciones son operadores críticos?
El Centro Nacional para la Protección de las Infraestructuras Críticas, a través de la Comisión Nacional para la Protección de las Infraestructuras Críticas.
¿Quién es una autoridad competente para los proveedores de servicios digitales?
El RDL 12/2018, en su artículo 9, indica que para los proveedores de servicios digitales la autoridad competente es la Secretaría de Estado de Digitalización e Inteligencia Artificial.
¿Quién designa qué organizaciones son proveedores de servicios digitales?
El Real Decreto-ley 12/2018 indica en su artículo 3 f), que las organizaciones que prestan servicios digitales recogidos en el artículo 3 e), y que no sean microempresas o pequeñas empresas, se consideran Proveedores de Servicios Digitales, lo que implica que no es necesaria una designación explícita.
Asimismo, en su artículo 7, indica que los Proveedores de Servicios Digitales deben comunicar su actividad a la autoridad competente en un plazo de tres meses desde que la inicien.
Un Proveedor de Servicios Digitales puede utilizar el siguiente formulario de la Sede Electrónica de la Secretaría de Estado de Digitalización e Inteligencia Artificial para comunicar su actividad:
La página web de la citada Secretaría de Estado, como autoridad competente sobre los prestadores de servicios digitales, es la siguiente:
¿Cómo se designa un operador de servicio esencial?
En el Real Decreto- ley 12/2018, en la disposición adicional primera, se indica cómo se ha designado la primera lista de servicios y operadores de servicios esenciales.
Relación inicial de servicios esenciales y operadores de servicios esenciales.
La Comisión Nacional para la Protección de las Infraestructuras Críticas aprobará una primera lista de servicios esenciales dentro de los sectores incluidos en el ámbito de aplicación de este real decreto-ley e identificará a los operadores que los presten que deban sujetarse a este real decreto-ley en el siguiente orden:
a) Antes del 9 de noviembre de 2018: los servicios esenciales y los operadores correspondientes a los sectores estratégicos energía, transporte, salud, sistema financiero, agua, e infraestructuras digitales.
b) Antes del 9 de noviembre de 2019: los servicios esenciales y los operadores correspondientes al resto de los sectores estratégicos recogidos en el anexo de la Ley 8/2011, de 28 de abril.
Además de esto, el procedimiento para la designación posterior de nuevos operadores de servicios esenciales se define en el RDL 12/2018, artículo 6, y el RD 43/2021 artículo 2, tal y cómo se describe en “¿Quién es una autoridad competente y quién designa qué organizaciones son operadores de servicios esenciales?”
La identificación y designación de los operadores de servicios esenciales se lleva a cabo por los órganos y procedimientos previstos por la Ley 8/2011 y el Real Decreto 704/2011, de 20 de mayo, por el que se aprueba el Reglamento de protección de las infraestructuras críticas.
De este modo, es la Comisión Nacional para la Protección de las Infraestructuras Críticas, cuya composición y funciones se regulan en el artículo del RD 704/2011 la que identifica y designa a los operadores de servicios esenciales, debiendo actualizarse los servicios esenciales y sus operadores para cada sector, con una frecuencia bienal.
¿Cómo se designa un operador crítico?
En la propia Comisión Nacional para la Protección de las Infraestructuras Críticas, dentro del conjunto de los operadores de servicios esenciales designados, se determinará cuáles de estos pueden ser designados como críticos.
Mi empresa durante el estado de alarma de 2020 fue designada operador de servicio esencial, ¿estaría dentro del alcance del Real Decreto 43/2021?
No, porque su designación no se realizó en el marco de la Comisión Nacional para la Protección de las Infraestructuras Críticas y fue posterior a la publicación del RD 43/2021.
¿Cómo puedo saber si mi empresa ha sido designada como operador crítico, operador de servicios esenciales?
El proceso de designación, como cualquiera de las figuras citadas en la ley, conlleva una notificación a la entidad, por lo que toda entidad designada ha sido notificada al respecto.
Si se desea trasladar alguna consulta acerca de la designación de una entidad, se puede realizar a las autoridades competentes o a los órganos de designación establecidos en cada caso: operador crítico, operador de servicios esenciales, detallado cada particular en las preguntas precedentes de esta guía.
¿Estoy obligado a notificar incidentes? ¿A quién? ¿Cómo? ¿Qué? ¿Cuándo?
Las organizaciones que están obligadas a notificar incidentes son aquellas que están dentro del alcance de aplicación del Real Decreto-ley 12/2018 y el del Real Decreto 43/2021.
En el RD-L 12/2018, en particular en el artículo 2 de ámbito de aplicación, dice lo siguiente:
Artículo 2. Ámbito de aplicación.
1. Este Real Decreto-ley se aplicará a la prestación de:
a) Los servicios esenciales dependientes de las redes y sistemas de información comprendidos en los sectores estratégicos definidos en el anexo de la Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas.
b) Los servicios digitales, considerados conforme se determina en el artículo 3 e), que sean mercados en línea, motores de búsqueda en línea y servicios de computación en nube.
2. Estarán sometidos a este Real Decreto-ley:
a) Los operadores de servicios esenciales establecidos en España. Se entenderá que un operador de servicios esenciales está establecido en España cuando su residencia o domicilio social se encuentren en territorio español, siempre que éstos coincidan con el lugar en que esté efectivamente centralizada la gestión administrativa y la dirección de sus negocios o actividades.
Así mismo, este Real Decreto-ley será de aplicación a los servicios esenciales que los operadores residentes o domiciliados en otro Estado ofrezcan a través de un establecimiento permanente situado en España.
b) Los proveedores de servicios digitales que tengan su sede social en España y que constituya su establecimiento principal en la Unión Europea, así como los que, no estando establecidos en la Unión Europea, designen en España a su representante en la Unión para el cumplimiento de la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión.
El del Real Decreto 43/2021 en línea del anterior y en particular en el artículo 2:
Artículo 2. Ámbito de aplicación.
1. De conformidad con el artículo 2 del Real Decreto-ley 12/2018, de 7 de septiembre, este real decreto se aplicará a la prestación de:
a) Los servicios esenciales dependientes de las redes y sistemas de información comprendidos en los sectores estratégicos definidos en el anexo de la Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas.
b) Los servicios digitales que sean mercados en línea, motores de búsqueda en línea y servicios de computación en nube.
2. Estarán sometidos a este real decreto:
a) Los operadores de servicios esenciales establecidos en España. Se entenderá que un operador de servicios esenciales está establecido en España cuando su residencia o domicilio social se encuentren en territorio español, siempre que estos coincidan con el lugar en que esté efectivamente centralizada la gestión administrativa y la dirección de sus negocios o actividades.
Así mismo, este real decreto será de aplicación a los servicios esenciales que los operadores residentes o domiciliados en otro Estado ofrezcan a través de un establecimiento permanente situado en España.
De conformidad con lo previsto en el apartado 1 del artículo 6 del Real Decreto-ley 12/2018, la identificación de los servicios esenciales y de los operadores que los presten se efectuará por los órganos y procedimientos previstos por la Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas, y su normativa de desarrollo, en particular el Real Decreto 704/2011, de 20 de mayo, por el que se aprueba el Reglamento de protección de las infraestructuras críticas.
b) Los proveedores de servicios digitales que tengan su sede social en España y que constituya su establecimiento principal en la Unión Europea, así como los que, no estando establecidos en la Unión Europea, designen en España a su representante en la Unión para el cumplimiento de la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión.
3. Este real decreto no se aplicará a:
a) Los operadores de redes y servicios de comunicaciones electrónicas y los prestadores de servicios electrónicos de confianza que no sean designados como operadores críticos en virtud de la Ley 8/2011, de 28 de abril.
b) Los proveedores de servicios digitales cuando se trate de microempresas o pequeñas empresas, de acuerdo con las definiciones recogidas en la Recomendación 2003/361/CE de la Comisión, de 6 de mayo de 2003, sobre la definición de microempresas, pequeñas y medianas empresas.
4. De conformidad con el artículo 18 del Real Decreto-ley 12/2018, de 7 de septiembre, cuando una normativa nacional o comunitaria establezca para un sector obligaciones de seguridad de las redes y sistemas de información o de notificación de incidentes que tengan efectos, al menos, equivalentes a los de las obligaciones previstas en el Real Decreto-ley 12/2018, de 7 de septiembre, prevalecerán aquellos requisitos y los mecanismos de supervisión correspondientes.
Los incidentes deben ser remitidos a los CSIRT de referencia que vienen recogidos en el Real Decreto-ley 12/2018. Señalar que INCIBE-CERT es CSIRT de referencia para los operadores críticos, operadores de servicios esenciales y proveedores de servicios digitales del ámbito privado.
Artículo 11. Equipos de respuesta a incidentes de seguridad informática de referencia.
1. Son equipos de respuesta a incidentes de seguridad informática (CSIRT) de referencia en materia de seguridad de las redes y sistemas de información, los siguientes:
a) En lo concerniente a las relaciones con los operadores de servicios esenciales:
1.º El CCN-CERT, del Centro Criptológico Nacional, al que corresponde la comunidad de referencia constituida por las entidades del ámbito subjetivo de aplicación de la Ley 40/2015, de 1 de octubre.
2.º El INCIBE-CERT, del Instituto Nacional de Ciberseguridad de España, al que corresponde la comunidad de referencia constituida por aquellas entidades no incluidas en el ámbito subjetivo de aplicación de la Ley 40/2015, de 1 de octubre.
El INCIBE-CERT será operado conjuntamente por el INCIBE y el CNPIC en todo lo que se refiera a la gestión de incidentes que afecten a los operadores críticos.
3.º El ESPDEF-CERT, del Ministerio de Defensa, que cooperará con el CCN-CERT y el INCIBE-CERT en aquellas situaciones que éstos requieran en apoyo de los operadores de servicios esenciales y, necesariamente, en aquellos operadores que tengan incidencia en la Defensa Nacional y que reglamentariamente se determinen.
b) En lo concerniente a las relaciones con los proveedores de servicios digitales que no estuvieren comprendidos en la comunidad de referencia del CCN-CERT: el INCIBE-CERT.
El INCIBE-CERT será, así mismo, equipo de respuesta a incidentes de referencia para los ciudadanos, entidades de derecho privado y otras entidades no incluidas anteriormente en este apartado 1.
Conforme al Real Decreto 734/2020, del 4 de agosto, por el que se desarrolla la estructura orgánica básica del Ministerio del Interior, mediante el cual se suprime el Centro Nacional de Protección de Infraestructuras y Ciberseguridad, así como la Oficina de Coordinación Cibernética, y se crean el Centro Nacional de Protección de Infraestructuras Críticas y la Oficina de Coordinación de Ciberseguridad; INCIBE-CERT será operado conjuntamente por INCIBE y OCC, la Oficina de Coordinación de Ciberseguridad, en todo lo que se refiera a la gestión de incidentes que afecten a los operadores críticos.
Actualmente puedes enviar incidentes a INCIBE-CERT a través de diferentes vías que te ofrecemos en el siguiente enlace:
/incibe-cert/incidentes/respuesta-incidentes
Dentro de los incidentes que se deben de remitir, el Real Decreto 43/2021 en su artículo 9 señala que:
Artículo 9. Obligaciones de notificación de incidentes de los operadores de servicios esenciales.
1. Los operadores de servicios esenciales notificarán a la autoridad competente respectiva, a través del CSIRT de referencia, los incidentes que puedan tener efectos perturbadores significativos en dichos servicios, considerándose a tal efecto los incidentes con un nivel de impacto crítico, muy alto o alto, según el detalle que se especifica en el apartado 4 de la Instrucción nacional de notificación y gestión de ciberincidentes, que se contiene en el anexo de este real decreto.
Asimismo, notificarán los sucesos o incidencias que, por su nivel de peligrosidad, puedan afectar a las redes y sistemas de información empleados para la prestación de los servicios esenciales, aun cuando no hayan tenido todavía un efecto adverso real sobre aquellos. A estos efectos, se considerarán los incidentes con un nivel de peligrosidad crítico, muy alto o alto, según el detalle que se especifica en el apartado 3 de la citada Instrucción.
2. Sin perjuicio de lo anterior, las autoridades competentes podrán establecer, de conformidad con el artículo 19.5 del Real Decreto-ley 12/2018, de 7 de septiembre, obligaciones específicas de notificación que contemplen niveles diferentes a los previstos en la Instrucción nacional de notificación y gestión de ciberincidentes, así como factores y umbrales sectoriales específicos, aplicables a los operadores sometidos a su supervisión.
3. La notificación de un ciberincidente conforme a este real decreto no excluye ni sustituye la notificación que de los mismos hechos deba realizarse a otros organismos conforme a su normativa específica.
En particular, las obligaciones de notificación previstas en los apartados anteriores son independientes de las que deban realizarse a la Agencia Española de Protección de Datos conforme a lo previsto en el artículo 33 del Reglamento general de protección de datos, sin perjuicio de la cooperación entre autoridades prevista en el artículo 29 del Real Decreto-ley 12/2018, y la posibilidad de acceso por parte de la citada agencia a la plataforma común de notificación de incidentes prevista en su disposición adicional tercera.
A estos efectos, las notificaciones previstas en los apartados 1 y 2 de este artículo incluirán la información que, para los casos de violación de la seguridad de los datos personales, se contenga en los formularios aprobados por la Agencia Española de Protección de Datos.
Dentro de la información que se debe de remitir, si bien viene recogido en el Real Decreto 43/2021 en su ANEXO: Instrucción nacional de notificación y gestión de ciberincidentes, se ofrece un mayor detalle en la Guía nacional de notificación y gestión de ciberincidentes.
¿Hay un régimen sancionador?
Sí, hay un régimen sancionador recogido en el Real Decreto-ley 12/2018 en el Título VII que pasa a describirse a continuación.
Artículo 35. Responsables.
Serán responsables los operadores de servicios esenciales y los proveedores de servicios digitales comprendidos en el ámbito de aplicación de este real decreto-ley.
Artículo 36. Infracciones.
1. Las infracciones de los preceptos de este real decreto-ley se clasifican en muy graves, graves y leves.
2. Son infracciones muy graves:
a) La falta de adopción de medidas para subsanar las deficiencias detectadas, de acuerdo con lo dispuesto en los artículos 32.2 o 33.1, cuando éstas le hayan hecho vulnerable a un incidente con efectos perturbadores significativos en el servicio y el operador de servicios esenciales o el proveedor de servicios digitales no hubiera atendido los requerimientos dictados por la autoridad competente con anterioridad a la producción del incidente.
b) El incumplimiento reiterado de la obligación de notificar incidentes con efectos perturbadores significativos en el servicio. Se considerará que es reiterado a partir del segundo incumplimiento.
c) No tomar las medidas necesarias para resolver los incidentes con arreglo a lo dispuesto en el artículo 28.1 cuando éstos tengan un efecto perturbador significativo en la prestación servicios esenciales o de servicios digitales en España o en otros Estados miembros.
3. Son infracciones graves:
a) El incumplimiento de las disposiciones reglamentarias o de las instrucciones técnicas de seguridad dictadas por la autoridad competente referidas a las precauciones mínimas que los operadores de servicios esenciales han de adoptar para garantizar la seguridad de las redes y sistemas de información.
b) La falta de adopción de medidas para subsanar las deficiencias detectadas en respuesta a un requerimiento dictado de acuerdo con los artículos 32.2 o 33.1, cuando ese sea el tercer requerimiento desatendido que se dicta en los cinco últimos años.
c) El incumplimiento de la obligación de notificar incidentes con efectos perturbadores significativos en el servicio.
d) La demostración de una notoria falta de interés en la resolución de incidentes con efectos perturbadores significativos notificados cuando dé lugar a una mayor degradación del servicio.
e) Proporcionar información falsa o engañosa al público sobre los estándares que cumple o las certificaciones de seguridad que mantiene en vigor.
f) Poner obstáculos a la realización de auditorías por la autoridad competente.
4. Son infracciones leves:
a) El incumplimiento de las disposiciones reglamentarias o de las instrucciones técnicas de seguridad dictadas por la autoridad competente al amparo de este real decreto-ley, cuando no suponga una infracción grave.
b) La falta de adopción de medidas para corregir las deficiencias detectadas en respuesta a un requerimiento de subsanación dictado de acuerdo con los artículos 32.2 o 33.1.
c) No facilitar la información que sea requerida por las autoridades competentes sobre sus políticas de seguridad, o proporcionar información incompleta o tardía sin justificación.
d) No someterse a una auditoría de seguridad según lo ordenado por la autoridad competente.
e) No proporcionar al CSIRT de referencia o a la autoridad competente la información que soliciten en virtud del artículo 28.2.
f) La falta de notificación de los sucesos o incidencias para los que, aunque no hayan tenido un efecto adverso real sobre los servicios, exista obligación de notificación en virtud del párrafo segundo del artículo 19.2.
g) No completar la información que debe reunir la notificación de incidentes teniendo en cuenta lo dispuesto en el artículo 23, o no remitir el informe justificativo sobre la imposibilidad de reunir la información previsto en dicho artículo.
h) No seguir las indicaciones que reciba del CSIRT de referencia para resolver un incidente, de acuerdo con el artículo 28.
Artículo 37. Sanciones.
1. Por la comisión de las infracciones recogidas en el artículo anterior, se impondrán las siguientes sanciones:
a) Por la comisión de infracciones muy graves, multa de 500.001 hasta 1.000.000 euros.
b) Por la comisión de infracciones graves, multa de 100.001 hasta 500.000 euros.
c) Por la comisión de infracciones leves, amonestación o multa hasta 100.000 euros.
2. Las sanciones firmes en vía administrativa por infracciones muy graves y graves podrán ser publicadas, a costa del sancionado, en el «Boletín Oficial del Estado» y en el sitio de Internet de la autoridad competente, en atención a los hechos concurrentes y de conformidad con el artículo siguiente.
Artículo 38. Graduación de la cuantía de las sanciones.
El órgano sancionador establecerá la sanción teniendo en cuenta los siguientes criterios:
a) El grado de culpabilidad o la existencia de intencionalidad.
b) La continuidad o persistencia en la conducta infractora.
c) La naturaleza y cuantía de los perjuicios causados.
d) La reincidencia, por comisión en el último año de más de una infracción de la misma naturaleza, cuando así haya sido declarado por resolución firme en vía administrativa.
e) El número de usuarios afectados.
f) El volumen de facturación del responsable.
g) La utilización por el responsable de programas de recompensa por el descubrimiento de vulnerabilidades en sus redes y sistemas de información.
h) Las acciones realizadas por el responsable para paliar los efectos o consecuencias de la infracción.
Artículo 39. Proporcionalidad de sanciones.
1. El órgano sancionador podrá establecer la cuantía de la sanción aplicando la escala relativa a la clase de infracciones que preceda inmediatamente en gravedad a aquella en que se integra la considerada en el caso de que se trate, en los siguientes supuestos:
a) Cuando se aprecie una cualificada disminución de la culpabilidad del imputado como consecuencia de la concurrencia significativa de varios de los criterios enunciados en el artículo 38.
b) Cuando la entidad infractora haya regularizado la situación irregular de forma diligente.
c) Cuando el infractor haya reconocido espontáneamente su culpabilidad.
2. Los órganos con competencia sancionadora, atendida la naturaleza de los hechos y la concurrencia significativa de los criterios establecidos en el apartado anterior, podrán no acordar el inicio del procedimiento sancionador y, en su lugar, apercibir al sujeto responsable a fin de que, en el plazo que el órgano sancionador determine, acredite la adopción de las medidas correctoras que, en cada caso, resulten pertinentes, siempre que concurran los siguientes presupuestos:
a) Que los hechos fuesen constitutivos de infracción leve o grave conforme a lo dispuesto en este real decreto-ley.
b) Que el órgano competente no hubiese sancionado o apercibido al infractor en los dos años previos como consecuencia de la comisión de infracciones previstas en este real decreto-ley.
Si el apercibimiento no fuera atendido en el plazo que el órgano sancionador hubiera determinado, procederá la apertura del correspondiente procedimiento sancionador por dicho incumplimiento.
3. No podrán ser objeto de apercibimiento las infracciones leves descritas en el artículo 36.4 c), d) y e) y la infracción grave prevista en el artículo 36.3 e).
Artículo 41. Competencia sancionadora.
1. La imposición de sanciones corresponderá, en el caso de infracciones muy graves, al Ministro competente en virtud de lo dispuesto en el artículo 9, y en el caso de infracciones graves y leves al órgano de la autoridad competente que se determine mediante el reglamento de desarrollo de este real decreto-ley.
2. La potestad sancionadora se ejercerá con arreglo a los principios y al procedimiento previstos en las Leyes 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, y 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.
3. El ejercicio de la potestad sancionadora se sujetará al procedimiento aplicable, con carácter general, a la actuación de las Administraciones públicas. No obstante, el plazo máximo de duración del procedimiento será de un año y el plazo de alegaciones no tendrá una duración inferior a un mes.
Artículo 42. Concurrencia de infracciones.
1. No procederá la imposición de sanciones según lo previsto en este real decreto-ley cuando los hechos constitutivos de infracción lo sean también de otra tipificada en la normativa sectorial a la que esté sujeto el prestador del servicio y exista identidad del bien jurídico protegido.
2. Cuando, como consecuencia de una actuación sancionadora, se tuviera conocimiento de hechos que pudieran ser constitutivos de infracciones tipificadas en otras leyes, se dará cuenta de los mismos a los órganos u organismos competentes para su supervisión y sanción.
Enlaces de interés
- https://www.boe.es/buscar/act.php?id=BOE-A-2018-12257
- https://www.boe.es/diario_boe/txt.php?id=BOE-A-2021-1192
- /incibe-cert/incidentes/respuesta-incidentes
- /incibe-cert/guias-y-estudios/guias/guia-nacional-notificacion-y-gestion-ciberincidentes
- https://sede.serviciosmin.gob.es/es-es/procedimientoselectronicos/Paginas/detalle-procedimientos.aspx?IdProcedimiento=209
- https://avancedigital.mineco.gob.es/es-es/Servicios/seguridad-redes/Paginas/Preguntas-frecuentes.aspx
[i] La Oficina de Coordinación de Ciberseguridad desarrolla esa labor en lugar de los extintos Centro Nacional de Protección de Infraestructuras y Ciberseguridad y la Oficina de Coordinación Cibernética, conforme al Real Decreto 734/2020, de 4 de agosto, por el que se desarrolla la estructura orgánica básica del Ministerio del Interior.