Instituto Nacional de ciberseguridad. Sección Incibe
Protege tu empresa. Sección empresas

Cumplimento normativo para proveedores de servicios digitales

Fecha de publicación 28/05/2024
Cumplimento normativo para proveedores de servicios digitales

Una de las principales dudas que se plantean los Proveedores de Servicios Digitales es la relativa al cumplimiento normativo, en esta entrada de blog trataremos de aclarar este aspecto, facilitando la información y los enlaces a las páginas y herramientas que INCIBE y la Secretaría de Estado de Digitalización e Inteligencia Artificial, pone a disposición de estas entidades para facilitar el cumplimiento normativo.

¿Es mi organización Proveedor de Servicios Digitales?

Si su organización presta servicios de mercado en línea, motor de búsqueda en línea o servicios de computación en nube, no es microempresa o pequeña empresa y cuenta con establecimiento principal en España, es muy probable que sea Proveedor de Servicios Digitales según establece el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información.

Normativa aplicable a Proveedores de Servicios Digitales

En la actualidad y hasta la entrada en vigor de la futura trasposición de la directiva NIS2, la normativa aplicable a los Proveedores de Servicios Digitales es la siguiente:

  • Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información.
  • Real Decreto 43/2021, de 26 de enero, por el que se desarrolla el Real Decreto-ley 12/2018.
  • DIRECTIVA (UE) 2016/1148 DEL PARLAMENTO EUROPEO Y DEL CONSEJO, de 6 de julio de 2016.
  • REGLAMENTO DE EJECUCIÓN (UE) 2018/151 DE LA COMISIÓN, de 30 de enero de 2018.

Obligaciones que establece la normativa para los Proveedores de Servicios Digitales

El Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información, establece tres obligaciones principales para los Proveedores de Servicios Digitales:

  • Comunicar su actividad a la autoridad competente.
  • Adoptar medidas de seguridad técnicas y organizativas adecuadas y proporcionadas.
  • Notificar incidentes de seguridad que tengan efectos perturbadores significativos en sus servicios a la autoridad competente a través de su CSIRT de referencia.

Autoridad competente y CSIRT de referencia para Proveedores de Servicios Digitales

El Real Decreto-ley 12/2018 establece en sus artículos 9.1 y 11.1, que la autoridad competente y CSIRT de referencia para Proveedores de Servicios Digitales son respectivamente la Secretaría de Estado de Digitalización e Inteligencia Artificial, del Ministerio de Asuntos Económicos y Transformación Digital e INCIBE-CERT, del Instituto Nacional de Ciberseguridad de España.

¿Cómo cumplo con las obligaciones que establece la normativa?

Comunicación de actividad

El Real Decreto-ley 12/2018 establece en su artículo 7, que los Proveedores de Servicios Digitales deberán comunicar su actividad a la autoridad competente en el plazo de tres meses desde la fecha de su inicio, a los meros efectos de su conocimiento.

Para efectuar esta comunicación de actividad como Proveedor de Servicios Digitales, la Secretaría de Estado de Digitalización e Inteligencia Artificial ha habilitado un formulario al que se puede acceder usando el siguiente enlace:

https://sedediatid.mineco.gob.es/es-es/procedimientoselectronicos/Paginas/detalle-procedimientos.aspx?IdProcedimiento=209

Notificación de incidentes

El Real Decreto-ley 12/2018 establece en su artículo 19.2, que los Proveedores de Servicios Digitales deberán comunicar a la autoridad competente, a través de su CSIRT de referencia, los incidentes que tengan efectos perturbadores significativos en dichos servicios, considerándose a tal efecto los incidentes con un nivel de impacto crítico, muy alto o alto, según el detalle que se especifica en la guía nacional de notificación y gestión de ciberincidentes que figura como anexo en el Real Decreto 43/2021:

https://www.incibe.es/incibe-cert/guias-y-estudios/guias/guia-nacional-de-notificacion-y-gestion-de-ciberincidentes

Asimismo, deberán notificar los sucesos o incidencias que, por su nivel de peligrosidad, puedan afectar a las redes y sistemas de información empleados para la prestación de sus servicios, aun cuando no hayan tenido todavía un efecto adverso real sobre aquellos. A estos efectos, se deberán tomar en consideración los incidentes con nivel de peligrosidad crítico, muy alto o alto, según el detalle que se especifica en la citada guía.

Los proveedores de Servicios Digitales pueden comunicar incidentes a INCIBE-CERT por varios canales tal como se indica en el siguiente enlace:

https://www.incibe.es/incibe-cert/incidentes/respuesta-incidentes

Cumplimiento de las obligaciones de seguridad

El Real Decreto-ley 12/2018 establece en su artículo 16, que los Proveedores de Servicios Digitales deberán adoptar las medidas técnicas y organizativas adecuadas y proporcionadas para gestionar los riesgos que afecten a la seguridad de las redes y sistemas de información utilizados para la prestación de sus servicios. Estas medias se concretan en el artículo 2 del Reglamento de Ejecución (UE) 2018/151, de 30 de enero de 2018.

Establecer las medidas de seguridad necesarias para cumplir con las obligaciones que establece la normativa es una labor compleja que depende de los riesgos y amenazas específicas que pudieran afectar a cada tipo de organización. Siendo conscientes de esta complejidad, INCIBE y la Secretaría de Estado de Digitalización en Inteligencia Artificial, ponen a disposición de los Proveedores de Servicios Digitales una herramienta de autoevaluación con la que podrán valorar su grado de cumplimiento* en el siguiente enlace:

https://www.incibe.es/incibe-cert/sobre-incibe-cert/proveedores-digitales

(*) Los resultados de esta autoevaluación son indicativos y no constituyen prueba alguna de cumplimiento legal.

Tu ayuda en ciberseguridad 017

Contenido realizado en el marco de los fondos del Plan de Recuperación, Transformación y Resiliencia del Gobierno de España, financiado por la Unión Europea (Next Generation).