[{"@context":"http:\/\/schema.org\/","@type":"BlogPosting","@id":"https:\/\/ayudaleyprotecciondatos.es\/2018\/09\/18\/normativa-ciberseguridad\/#BlogPosting","mainEntityOfPage":"https:\/\/ayudaleyprotecciondatos.es\/2018\/09\/18\/normativa-ciberseguridad\/","headline":"Normativa de ciberseguridad. Todo lo que debes saber","name":"Normativa de ciberseguridad. Todo lo que debes saber","description":"Normativa de ciberseguridad en Espa\u00f1a. \u00bfQu\u00e9 leyes se ocupan de la seguridad inform\u00e1tica y c\u00f3mo se aplican? \u00bfCu\u00e1l es su relaci\u00f3n con la protecci\u00f3n de datos?","datePublished":"2018-09-18","dateModified":"2021-09-22","author":{"@type":"Person","@id":"https:\/\/ayudaleyprotecciondatos.es\/author\/agonzar34\/#Person","name":"Ana Gonz\u00e1lez","url":"https:\/\/ayudaleyprotecciondatos.es\/author\/agonzar34\/","image":{"@type":"ImageObject","@id":"https:\/\/secure.gravatar.com\/avatar\/9d20ce04c893956aaa747aa424b64675?s=96&d=blank&r=g","url":"https:\/\/secure.gravatar.com\/avatar\/9d20ce04c893956aaa747aa424b64675?s=96&d=blank&r=g","height":96,"width":96}},"publisher":{"@type":"Organization","name":"AyudaLeyProteccionDatos","logo":{"@type":"ImageObject","@id":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2016\/01\/ayuda-ley-proteccion-datos.png","url":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2016\/01\/ayuda-ley-proteccion-datos.png","width":600,"height":60}},"image":{"@type":"ImageObject","@id":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2018\/09\/normativa-ciberseguridad.jpg","url":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2018\/09\/normativa-ciberseguridad.jpg","height":782,"width":1400},"url":"https:\/\/ayudaleyprotecciondatos.es\/2018\/09\/18\/normativa-ciberseguridad\/","about":["CIBERSEGURIDAD"],"wordCount":2853,"articleBody":" if (typeof BingeIframeRan === \"undefined\") { window.addEventListener(\"message\", receiveMessage, false); function receiveMessage(event) { try { var parsed = JSON.parse(event.data) if (parsed.context === \"iframe.resize\") { var iframes = document.getElementsByClassName(\"binge-iframe\"); for (let i = 0; i < iframes.length; ++i) { if (iframes[i].src == parsed.src || iframes[i].contentWindow === event.source) { iframes[i].height = parsed.height; } iframes[i].style.opacity = 1; } } } catch (error) { } } var BingeIframeRan = true; } \u00bfC\u00f3mo se articula la legislaci\u00f3n sobre ciberseguridad? \u00bfSabes c\u00f3mo afecta esta normativa a tu empresa? \u00bfConoces las principales medidas de seguridad inform\u00e1tica? Tranquilo, sabemos que es complicado. Por eso, en este art\u00edculo te resolvemos todas las dudas que tengas acerca de la normativa de ciberseguridad.Ciberseguridad: normativaNormativa de ciberseguridad en EuropaNormativa de ciberseguridad en Espa\u00f1aNormativas de seguridad nacionalNormativas de seguridadReferidas a las telecomunicacionesSobre la ciberdelincuenciaNormativa de protecci\u00f3n de datosLey sobre la seguridad de las redes y sistemas de informaci\u00f3n\u00bfA qui\u00e9n afecta la normativa de ciberseguridad?Empresas excluidasObligaciones que establece la normativaMejora de los sistemas de seguridadNotificar los incidentes de seguridadFormaci\u00f3nAutoridad competenteSanciones por delitos contra la ciberseguridadRelaci\u00f3n de la normativa de ciberseguridad con la Protecci\u00f3n de Datos\u00bfNecesitas cumplir el RGPD?Entradas relacionadasCiberseguridad: normativaInternet y la aparici\u00f3n de nuevas tecnolog\u00edas ha originado la aparici\u00f3n de nuevas modalidades de delitos e infracciones a las normas que ni siquiera estaban previstas.Por tanto, es necesario que las diferentes leyes existentes se adapten para regular y proteger a ciudadanos y empresas de todos estos ataques cibern\u00e9ticos en la medida de lo posible. Y que se establezcan nuevas normativas que regulan las situaciones nuevas, no previstas hasta ahora en el mundo f\u00edsico.Lo primero que debemos tener en cuenta es c\u00f3mo se regula el tema de la ciberseguridad.Normativa de ciberseguridad en EuropaLa normativa europea de ciberseguridad se rige por las siguientes leyes::Directiva 2016\/1148, relativa a las medidas destinadas a garantizar un elevado nivel com\u00fan de seguridad en las redes y sistemas de informaci\u00f3n de la Uni\u00f3n.Reglamento Europeo de Protecci\u00f3n de Datos 2016\/679 (RGPD). Establece la implantaci\u00f3n de nuevas medidas de seguridad para las empresas europeas, los aut\u00f3nomos y la Administraci\u00f3n p\u00fablica.Ley de Seguridad Cibern\u00e9tica (Cybersecurity Act), aprobada el 27 de junio de 2019 por la UE. Esta ley\u00a0moderniza y refuerza la Agencia de la UE para la ciberseguridad (ENISA) y establece un marco de certificaci\u00f3n de la ciberseguridad en toda la UE para productos, servicios y procesos digitales.Normativa de ciberseguridad en Espa\u00f1a\u00bfC\u00f3mo es la ley de ciberseguridad en Espa\u00f1a? \u00bfQue normativas de aplican para el cumplimiento de la seguridad inform\u00e1tica?En nuestro pa\u00eds existe un C\u00f3digo de Derecho de la Ciberseguridad, publicado en el Bolet\u00edn Oficial del Estado, que cita las principales normas a tener en cuenta con relaci\u00f3n a la protecci\u00f3n del ciberespacio.Este c\u00f3digo hace referencia a las siguientes leyes sobre ciberseguridad.Normativas de seguridad nacionalLey 36\/2015, de 28 de septiembre, de Seguridad Nacional, que regula los principios y organismos clave as\u00ed como las funciones que deber\u00e1n desempe\u00f1ar para la defensa de la Seguridad Nacional.Orden TIN\/3016\/2011, de 28 de Octubre, por la que se crea el Comit\u00e9 de Seguridad de las Tecnolog\u00edas de la Informaci\u00f3n y las Comunicaciones del Ministerio de Trabajo e Inmigraci\u00f3n.Normativas de seguridadLey Org\u00e1nica 4\/2015, de 30 de marzo, de protecci\u00f3n de la seguridad ciudadana.Ley 5\/2014, de 4 de abril, de Seguridad Privada.Referidas a las telecomunicacionesLey 34\/2002, de 11 de julio, de servicios a la sociedad de la informaci\u00f3n y comercio electr\u00f3nico.Real Decreto 381\/2015, de 14 de mayo, por el que se establecen medidas contra el tr\u00e1fico no permitido o irregular con fines fraudulentos en comunicaciones electr\u00f3nicas.Ley 50\/2003, de 19 de diciembre, de firma electr\u00f3nica.La Ley 9\/2014, de 9 de mayo, General de Telecomunicaciones.Ley 25\/2007, de 18 de octubre, de conservaci\u00f3n de datos relativos a las comunicaciones electr\u00f3nicas y a las redes p\u00fablicas de comunicaciones.Todas esas leyes relacionadas con la seguridad de la informaci\u00f3n est\u00e1n dise\u00f1adas con e objetivo de ofrecer un marco normativo que permita garantizar la seguridad de la informaci\u00f3n digital y establecer una legislaci\u00f3n com\u00fan a nivel europeo.\u00bfCu\u00e1nto cuesta cumplir la LOPD?Sobre la ciberdelincuenciaC\u00f3digo Penal,Ley Org\u00e1nica 5\/2000, de 12 de enero, reguladora de la responsabilidad penal de los menores;Real Decreto de aprobaci\u00f3n de la Ley de Enjuiciamiento Criminal.Normativa de protecci\u00f3n de datosLey Org\u00e1nica 15\/1999, de 13 de diciembre, de Protecci\u00f3n de Datos de car\u00e1cter personal.Reglamento, aprobado por el Real Decreto 1720\/2007, de 21 de diciembre. Esto mientra no se apruebe la nueva Ley de Protecci\u00f3n de Datos.Ley sobre la seguridad de las redes y sistemas de informaci\u00f3nEl Real Decreto-ley 12\/2018, de 7 de septiembre, de seguridad de las redes y sistemas de informaci\u00f3n tiene por objeto:Regular la seguridad de las redes y sistemas de informaci\u00f3n utilizados para la provisi\u00f3n de los servicios esenciales y de los servicios digitales, yEstablecer un sistema de notificaci\u00f3n de incidentes.Para ello, la nueva normativa sobre ciberseguridad en Espa\u00f1a se adapta al ordenamiento jur\u00eddico espa\u00f1ol la Directiva (UE) 2016\/1148 del Parlamento Europeo y del Consejo conocida como \u00abDirectiva europea sobre ciberseguridad\u00ab.Esta Ley de seguridad de la informaci\u00f3n identifica los sectores en los que es necesario garantizar la protecci\u00f3n de las redes y sistemas de informaci\u00f3n, y establece procedimientos para identificar los servicios esenciales ofrecidos en dichos sectores, as\u00ed como los principales operadores que prestan dichos servicios.\u00bfA qui\u00e9n afecta la normativa de ciberseguridad?La normativa de seguridad inform\u00e1tica se aplica a los \u00aboperadores de servicios esenciales\u00ab.El problema est\u00e1 en determinar qui\u00e9nes son esos operadores de servicios esenciales.Para ver qu\u00e9 entidades se encuentran dentro de esta clasificaci\u00f3n, se tienen en cuenta varios criterios.Si son servicios fundamentales para la sociedad y la econom\u00edaSi dependen o no de otro sistema de redesEfectos perjudiciales que tendr\u00eda una incidencia sobre la prestaci\u00f3n de esos servicios o la seguridad p\u00fablica.Por tanto, la normativa de seguridad de una empresa incluye a compa\u00f1\u00edas de los siguientes sectores:Energ\u00edaGas: suministradores, red de distribuci\u00f3n, transporte o almacenamiento, compa\u00f1\u00edas de gas natural, etc.Electricidad: empresas el\u00e9ctricas, red de distribuci\u00f3n y transporte.Petr\u00f3leo: operadores de oleoductos y de producci\u00f3n, refinado, almacenamiento y transporte.TransporteA\u00e9reo: compa\u00f1\u00edas a\u00e9reasFerrocarril: empresas ferroviariasMar\u00edtimo y fluvial: empresas de transporte de pasajeros o mercanc\u00edasBancaSector sanitarioSuministro y distribuci\u00f3n de agua potableInfraestructura digitalServicios digitales: tiendas online o nubes de almacenamiento de datosEmpresas excluidasLa regulaci\u00f3n sobre ciberseguridad excluye a las siguientes empresas:Empresas de suministro de redes p\u00fablicas de comunicacionesEmpresas de servicios de comunicaciones electr\u00f3nicas disponibles al p\u00fablicoPrestadores de servicios de confianzaSectores regulados por leyes espec\u00edficas que establezcan similares requisitos de seguridadObligaciones que establece la normativaLas principales obligaciones que establece la ley de ciberseguridad son:Mejorar sus sistemas de seguridad contra intrusiones yComunicar a las autoridades competentes las violaciones de seguridad que sufran.Mejora de los sistemas de seguridadConstantemente conocemos nuevas informaciones sobre ataques inform\u00e1ticos, intrusiones realizadas en sistemas y redes, y robo de informaci\u00f3n que afectan a compa\u00f1\u00edas nacionales e internacionales de todos los tama\u00f1os y sectores.Estos incidentes de seguridad suponen una amenaza directa no solamente a la continuidad de tu empresa, sino tambi\u00e9n al valor reputacional de la misma.Proyectan en tus clientes la sensaci\u00f3n de que, si eres negligente en cuanto al cuidado y custodia de tu propia informaci\u00f3n y procesos, tambi\u00e9n podr\u00e1s serlo en cuanto al desarrollo y entrega del servicio o producto que ofreces.Por eso m\u00e1s vale prevenir que curar.La ley de seguridad inform\u00e1tica en Espa\u00f1a establece los siguientes mecanismos para mejorar en materia de ciberseguridad:Prevenci\u00f3n: adoptar las medidas necesarias para prevenir ataques inform\u00e1ticos.Detecci\u00f3n: si se produce una intrusi\u00f3n, debes detectar el momento en el que se produce y tomar las medidas necesarias para minimizar los da\u00f1os.Restauraci\u00f3n: debes restaurar el sistema da\u00f1ado con las copias de seguridad realizadas anteriormente.An\u00e1lisis forense: con \u00e9l puedes ver las acciones que el atacante ha realizado en tu sistema.Notificar los incidentes de seguridadLas Administraciones p\u00fablicas o empresas del sector p\u00fablico est\u00e1n obligadas a notificar al Centro Criptol\u00f3gico Nacional (CCN) aquellos incidentes que tengan un impacto significativo en la seguridad de la informaci\u00f3n que manejan y los servicios que prestan en relaci\u00f3n con la categor\u00eda del sistema.En el sector privado, esta obligaci\u00f3n se regula en el Reglamento europeo de Protecci\u00f3n de Datos. Se deben notificar las brechas de seguridad tanto a los afectados como a la AEPD en un plazo de 72 horas.Formaci\u00f3nPara una correcta seguridad de la informaci\u00f3n en la empresa y evitar ser v\u00edctimas de ciberataques es fundamental una formaci\u00f3n adecuada de los empleados en esta materia.De esa forma aprender\u00e1n a adoptar las medidas necesarias para mantener segura la informaci\u00f3n que maneja la empresa y sabr\u00e1n qu\u00e9 acciones no deben realizar porque pondr\u00e1n en peligro la seguridad inform\u00e1tica.Existen multitud de cursos y m\u00e1ster con los que es posible adquirir esas competencias en ciberseguridad.Autoridad competenteLas leyes inform\u00e1ticas en Espa\u00f1a citan los organismos competentes en la materia:Para los operadores de servicios esenciales: la Secretar\u00eda de Estado de Seguridad, del Ministerio del Interior, a trav\u00e9s del Centro Nacional de Protecci\u00f3n de Infraestructuras y Ciberseguridad (CNPIC).En el caso de que no sean operadores cr\u00edticos: la autoridad sectorial correspondiente por raz\u00f3n de la materia, seg\u00fan se determine reglamentariamente.Para los proveedores de servicios digitales: la Secretar\u00eda de Estado para el Avance Digital, del Ministerio de Econom\u00eda y Empresa.Para los operadores de servicios esenciales y proveedores de servicios digitales que no siendo operadores cr\u00edticos se encuentren comprendidos en el \u00e1mbito de aplicaci\u00f3n de la Ley de R\u00e9gimen Jur\u00eddico del Sector P\u00fablico: el Ministerio de Defensa, a trav\u00e9s del Centro Criptol\u00f3gico Nacional.Tambi\u00e9n puedes consultar nuestro art\u00edculo sobre el funcionamiento del INCIBE o Instituto Nacional de Ciberseguridad.Sanciones por delitos contra la ciberseguridadLas infracciones de la normativa de ciberseguridad se clasifican en leves, graves y muy graves.Las sanciones que se prev\u00e9n son:Por la comisi\u00f3n de infracciones muy graves, multa de 500.001 hasta 1.000.000 euros.En caso de infracciones graves, multa de 100.001 hasta 500.000 euros.Por la comisi\u00f3n de infracciones leves, amonestaci\u00f3n o multa hasta 100.000 euros.Las sanciones firmes en v\u00eda administrativa por infracciones muy graves y graves podr\u00e1n ser publicadas, a costa del sancionado, en:Bolet\u00edn Oficial del Estado yp\u00e1gina web de la autoridad competente, en atenci\u00f3n a los hechos.Tambi\u00e9n se establecen unos criterios de graduaci\u00f3n de esas sanciones:Grado de culpabilidad o la existencia de intencionalidad.Continuidad o persistencia en la conducta infractora.Naturaleza y cuant\u00eda de los perjuicios causados.Reincidencia, por comisi\u00f3n en el \u00faltimo a\u00f1o de m\u00e1s de una infracci\u00f3n de la misma naturaleza.N\u00famero de usuarios afectados.Volumen de facturaci\u00f3n del responsable.Utilizaci\u00f3n por el responsable de programas de recompensa por el descubrimiento de vulnerabilidades en sus redes y sistemas de informaci\u00f3n.Acciones realizadas por el responsable para paliar las consecuencias de la infracci\u00f3n.Relaci\u00f3n de la normativa de ciberseguridad con la Protecci\u00f3n de DatosLa relaci\u00f3n entre ciberseguridad y protecci\u00f3n de datos es evidente. Y m\u00e1s en un mundo globalizado como el actual.De hecho, para proteger los datos personales que manejamos debemos implantar unas adecuadas medidas de seguridad inform\u00e1tica.Con la entrada en vigor del Reglamento europeo de Protecci\u00f3n de Datos (RGPD) queda patente la relaci\u00f3n existente entre ambas.En relaci\u00f3n con los incidentes de seguridad, cada organizaci\u00f3n deber\u00e1 comunicar la brecha de seguridad a la autoridad de protecci\u00f3n de datos y en casos graves a los afectados tan pronto sean conocidas en un plazo m\u00e1ximo de 72 horas.\u00a1Cuidado! Debes notificar las brechas de seguridad en un plazo de 72 horasEn este sentido, la organizaci\u00f3n deber\u00e1:DetectarRegistrarDecidir si procede comunicar el incidente a la autoridad de protecci\u00f3n de datosFacilitar la informaci\u00f3n sobre el mismo ante la solicitud de la autoridadPara ello necesita contar con sistemas de detecci\u00f3n, investigaci\u00f3n, actuaci\u00f3n y reporte internos confiables y \u00e1giles.Adem\u00e1s, tendr\u00e1n la obligaci\u00f3n de comunicar las brechas de seguridad a los afectados en los casos graves tan pronto como sean conocidas.El Reglamento faculta al responsable del tratamiento de datos personales para adoptar aquellas medidas que garanticen la seguridad de la red y de la informaci\u00f3n al hacer frente a acontecimientos accidentales, acciones il\u00edcitas o malintencionadas que comprometan la disponibilidad, autenticidad, integridad y confidencialidad de los datos personales y la seguridad de los servicios ofrecidos.Estas medidas se prestan a trav\u00e9s de los sistemas y redes por parte de:Autoridades,Equipos de respuesta a emergencias inform\u00e1ticas (CERT),Equipos de respuesta a incidentes de seguridad inform\u00e1tica (CSIRT),Proveedores de redes y servicios de comunicaciones electr\u00f3nicas oProveedores de tecnolog\u00edas y servicios de seguridad.Esto ha sido todo acerca de la legislaci\u00f3n sobre seguridad inform\u00e1tica. Es probable que en el futuro estas normativas vayan evolucionando y adapt\u00e1ndose a los cambios cada vez m\u00e1s frecuentes de este mundo tecnol\u00f3gico inmerso en la era digital. Si quieres saber m\u00e1s, te recomendamos leer nuestro art\u00edculo sobre tendencias de ciberseguridad en el futuro. \u00bfNecesitas cumplir el RGPD? Solicita varios presupuestos Entradas relacionadas\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\tEstrategia Nacional de Ciberseguridad 2019\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t"},{"@context":"http:\/\/schema.org\/","@type":"BreadcrumbList","itemListElement":[{"@type":"ListItem","position":1,"item":{"@id":"https:\/\/ayudaleyprotecciondatos.es\/#breadcrumbitem","name":"Ayuda Ley Protecci\u00f3n Datos"}},{"@type":"ListItem","position":2,"item":{"@id":"https:\/\/ayudaleyprotecciondatos.es\/2018\/09\/18\/normativa-ciberseguridad\/#breadcrumbitem","name":"Normativa de ciberseguridad. Todo lo que debes saber"}}]}]