Entrada: Normativa sobre ciberseguridad

ÍNDICE

Normativa sobre ciberseguridad de las resdes y sistemas de información

Las redes y sistemas de información tiene hoy día un carácter global, por lo que las amenazas a las que se enfrentantienen una incidencia internacional que puede llegar a ocasionar graves perjuicios a sectores económicos completos, paralizanso su actividad, y dañando la confianza de los ciudadanos. En esta entrada de blog analizamos la normatica europea sobre ciberseguridad de las redes y sistemas de información.

La Unión Europea inició su cobertura legal publicando en 2013 la Estrategia de ciberseguridad de la Unión Europea, posteriormente, en 2016 aprobó la directiva 2016/1148 relativa a relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión(Directiva SIR). Su objetivo fundamental era la seguridad de la Unión y funcionamiento de su economía mediante la reducción de las amenazas para las redes u sistemas de información que prestan los servicios esenciales para los sectores fundamentales en el espacio europeo.

Actualmente es la directiva (UE) 2022/2555 relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión, (Directiva SIR 2), la norma europea que determina las acciones de los Estamos mienbros de la UE para la consecución de la ciberseguridad en el espacio europeo.

Novedades importantes de la directiva SIR 2

Ámbito más amplio. Los sujetos obligados son:
entidades medianas y grandes de más sectores críticos para
la economía y la sociedad, incluyendo: proveedores de servicios públicos de comunicaciones electrónicas, servicios digitales, gestión de aguas residuales
y residuos, fabricación de productos críticos, servicios postales y de mensajería, así como a las Administraciones Públicas , estando ahora incluidos
aquellas sociedades con más de 250 y facturación anual > a 50 M €.

Aunque pueden quedar obligadas empresas prveedoras de redes decomunicación electrónica con independencia de su tamaño y facturación, por considerarse en el estadomiembro entidades senciales debido a la importancia nacional de los servicios digitales o servicios gestionados.

Obligaciones de seguridad reforzadas.

Análisis de riesgo

Política de seguridad del sistema de información.

Sistema de respuesta ante incidentes.

Evaluación de la eficacia de las medidas de gestión de riesgo.

Divulgación de vulnerabilidades y encriptación.

Endurecimiento de las sanciones.

Lass sanciones pueden ser de hasts 2% de la facturación anual o 10 M €, aquella de la que resulte un importe mayor.

Reducción del plazo de notificación de incidentes.

Obligación de presentar un informe del incidente dentro de las primeras 24  horas desde que tuvieran conocimiento del mismo, así como un informe final actualizado al mes de aber ocurrido.

El consejo de administración de la entidad está obligada a supervisar y rendir cuentas.

La máxima responsable de las entidades obligadas deben implementar y cumplir las medidas de seguridad reforzadas, siendo responsables de su uncumplimiento.

El sector financiero está regulado por un instrumento normativo de aplicación directa, el Reglamento denominado DORA, Reglamento (UE) 2022/2554) que entró en vigor en enero de 2023 y forma parte de un conjunto de medidas específicas para el sector financiero. El Reglamento DORA pretende prevenir y mitigar los ataques de a la ciberseguridad financiera, debiendo resistir y responder a los ataques. El plazo de adaptación de las entidades financieras es hasta el año 2025.

Normativa nacional sobre ciberseguridad

Incidencia de la directiva SR 1 , de 2016.

Hasta septiembre del año 2018, so se incorporó la dirctiva a través del Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información.

La normativa se aplica a los operadores de servicios esenciales y proveedores de servicios digitales registrados en España.

Son sujetos obligados a establecer medios para garantizar la ciberseguridad:

Los operadores de servicios esenciales (energía, transporte, suministro de agua, sector sanitario, entidades financieras e infraestrcuturas digitales) establecidos en España.

La Orden PCI/487/2019, de 26 de abril, por la que se publica la Estrategia Nacional de Ciberseguridad 2019, aprobada
por el Consejo de Seguridad Nacional, ha
definido cuáles son las líneas de actuación
estratégicas para los ámbitos de la Seguridad
Nacional:

Reforzar capacidadesss ante las amenazas.

Garantizar la seguridad y resilencia de las redes y sistemas de información reforzando la capacidad de investigación y persecución de la cibercriminalidad.

Ámbitos y normativa nacional de ciberseguridad

Seguridad Nacional
• Ley 36/2015, de 28 de septiembre, de Seguridad Nacional;
• Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información;
• Real Decreto 43/2021, de 26 de enero, por el que se desarrolla el Real Decreto ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información;
• Orden PCI/487/2019, de 26 de abril, por la que se publica la Estrategia Nacional
de Ciberseguridad 2019, aprobada por el Consejo de Seguridad Nacional;
• Real Decreto 1150/2021, de 28 de diciembre, por el que se aprueba la Estrategia de Seguridad Nacional 2021;

Normativa de seguridad
• Ley 5/2014, de 4 de abril, de Seguridad Privada;
• Real Decreto 2364/1994, de 9 de diciembre, por el que se aprueba el Reglamento de Seguridad Privada

Equipo de respuesta a incidentes de seguridad
• Real Decreto 421/2004, de 12 de marzo, por el que se regula el Centro Criptológico Nacional.

Telecomunicaciones y usuarios
• Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico;
• Ley 6/2020, de 11 de noviembre, reguladora de determinados aspectos de los servicios electrónicos de confianza;
• Ley 11/2022, de 28 de junio, General de Telecomunicaciones;
• Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones.

Protección de datos
• Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales;
• Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal;
• Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).

Ciberdelincuencia
• Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal.

Relaciones con la administración
• Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas;
• Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.

Infraestructuras críticas
• Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas;
• Real Decreto 704/2011, de 20 de mayo, por el que se aprueba el Reglamento de protección de las infraestructuras críticas.

lock and key as symbol for Privacy and General Data Protection Regulation on a notebook computer

Nuevos tipos penales: Cibercriminalidad

Delito de acceso e interceptación ilícita.

El CP introduce este delito en el
apartado 2 del art. 197 bis. El tipo reza
de la siguiente forma: “El que mediante
la utilización de artificios o instrumentos técnicos, y sin estar debidamente autorizado, intercepte transmisiones no públicas de datos informáticos que se produzcan desde, hacia o dentro de un sistema de información, incluidas las emisiones electromagnéticas de los mismos, será castigado con una pena de prisión de tres meses a dos años o multa de tres a doce meses”.Son transmisiones automáticas, no personales ntre equipos.

Delito de interferencia en los datos y en el sistema.

El CP en su artículo 264 bis establece las normas mínimas que los estados deben implementar en sus
ordenamientos jurídicos internos con relación a los delitos de interferencia en los datos y en los sistemas. Así, el referido artículo indica que: “Será castigado con la pena de prisión de seis meses a tres años el que, sin estar autorizado y de manera grave, obstaculizara o interrumpiera el funcionamiento de un sistema informático ajeno: a) realizando alguna de las conductas a que se refiere el artículo anterior) introduciendo o transmitiendo datos; o c) destruyendo, dañando, inutilizando, eliminando o sustituyendo un sistema informático, telemático o de almacenamiento de información electrónica.”

Picture of José Manuel de Ramón
José Manuel de Ramón
Abogado Colegiado Ilustre Colegio de Abogados de Orihuela Nº colegiado 1091 Director/Gerente ADMINDATOS Especialista en Protección de Datos Personales .
279a6fa9-c94a-42cd-8843-711aab5d6c4f.jpg

Try Us for a Week
Absolutely Free

downtown, few minutes walk from subway station.

SUSCRÍBETE

Si formas parte de nuestra comunidad recibirás más contenido y documentos como este.

En base al el Artículo 11 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, LOPD) y al artículo 13 del Reglamento General de Protección de Datos de la UE (RGPD)2016/679 del Parlamento Europeo y del Consejo de 27 de Abril de 2016, Admindatos le informa de la existencia de un tratamiento de datos de carácter personal cuyo responsable es Admindatos con CIF: C. I. F. B54242862 con dirección Calle Médico Temístocles Almagro nº 18, 1ª Planta, C.P. 03300, Orihuela (Alicante), teléfono 965 30 63 09 email: info@admindatos.com

Objeto de tratamiento: datos de contacto… más info

Finalidades: Envío de publicidad… más info

Conservación: durante el periodo de vigencia del consentimiento …más info

Legitimación: consentimiento de usuario de la web … más info

Destinatarios: Proveedores de Cookies … más info

Encargados de tratamiento: Proveedor de alojamiento web o hosting y hosting correo electrónico… más info

Transferencias internaciones. Proveedores de Cookies… más info

Ejercicio derechos: acceso, rectificación, supresión, oposición al tratamiento, limitación del tratamiento, portabilidad de sus datos, a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, a retirar el consentimiento en cualquier momento en la dirección Calle Médico Temístocles Almagro nº 18 lc 2, C.P. 03300, Orihuela (Alicante) o mediante vía electrónica, acreditando su personalidad, en la siguiente dirección de correo electrónico a info@admindatos.com más información usted puede consultar nuestra política de privacidad.

Si solo quieres descargar el documento haz clic en el siguiente botón