Ayuda Ley Protección Datos

Normativa de ciberseguridad. Todo lo que debes saber

¿Cómo se articula la legislación sobre ciberseguridad? ¿Sabes cómo afecta esta normativa a tu empresa? ¿Conoces las principales medidas de seguridad informática? Tranquilo, sabemos que es complicado. Por eso, en este artículo te resolvemos todas las dudas que tengas acerca de la normativa de ciberseguridad.

Ciberseguridad: normativa

Internet y la aparición de nuevas tecnologías ha originado la aparición de nuevas modalidades de delitos e infracciones a las normas que ni siquiera estaban previstas.

Por tanto, es necesario que las diferentes leyes existentes se adapten para regular y proteger a ciudadanos y empresas de todos estos ataques cibernéticos en la medida de lo posible. Y que se establezcan nuevas normativas que regulan las situaciones nuevas, no previstas hasta ahora en el mundo físico.

Lo primero que debemos tener en cuenta es cómo se regula el tema de la ciberseguridad.

Normativa de ciberseguridad en Europa

La normativa europea de ciberseguridad se rige por las siguientes leyes::

Normativa de ciberseguridad en España

¿Cómo es la ley de ciberseguridad en España? ¿Que normativas de aplican para el cumplimiento de la seguridad informática?

En nuestro país existe un Código de Derecho de la Ciberseguridad, publicado en el Boletín Oficial del Estado, que cita las principales normas a tener en cuenta con relación a la protección del ciberespacio.

Este código hace referencia a las siguientes leyes sobre ciberseguridad.

Normativas de seguridad nacional

Normativas de seguridad

Referidas a las telecomunicaciones

Todas esas leyes relacionadas con la seguridad de la información están diseñadas con e objetivo de ofrecer un marco normativo que permita garantizar la seguridad de la información digital y establecer una legislación común a nivel europeo.

Sobre la ciberdelincuencia

Normativa de protección de datos

Ley sobre la seguridad de las redes y sistemas de información

El Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información tiene por objeto:

Para ello, la nueva normativa sobre ciberseguridad en España se adapta al ordenamiento jurídico español la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo conocida como «Directiva europea sobre ciberseguridad«.

Esta Ley de seguridad de la información identifica los sectores en los que es necesario garantizar la protección de las redes y sistemas de información, y establece procedimientos para identificar los servicios esenciales ofrecidos en dichos sectores, así como los principales operadores que prestan dichos servicios.

¿A quién afecta la normativa de ciberseguridad?

La normativa de seguridad informática se aplica a los «operadores de servicios esenciales«.

El problema está en determinar quiénes son esos operadores de servicios esenciales.

Para ver qué entidades se encuentran dentro de esta clasificación, se tienen en cuenta varios criterios.

Por tanto, la normativa de seguridad de una empresa incluye a compañías de los siguientes sectores:

Empresas excluidas

La regulación sobre ciberseguridad excluye a las siguientes empresas:

Obligaciones que establece la normativa

Las principales obligaciones que establece la ley de ciberseguridad son:

  1. Mejorar sus sistemas de seguridad contra intrusiones y
  2. Comunicar a las autoridades competentes las violaciones de seguridad que sufran.

Mejora de los sistemas de seguridad

Constantemente conocemos nuevas informaciones sobre ataques informáticos, intrusiones realizadas en sistemas y redes, y robo de información que afectan a compañías nacionales e internacionales de todos los tamaños y sectores.

Estos incidentes de seguridad suponen una amenaza directa no solamente a la continuidad de tu empresa, sino también al valor reputacional de la misma.

Proyectan en tus clientes la sensación de que, si eres negligente en cuanto al cuidado y custodia de tu propia información y procesos, también podrás serlo en cuanto al desarrollo y entrega del servicio o producto que ofreces.

Por eso más vale prevenir que curar.

La ley de seguridad informática en España establece los siguientes mecanismos para mejorar en materia de ciberseguridad:

Notificar los incidentes de seguridad

Las Administraciones públicas o empresas del sector público están obligadas a notificar al Centro Criptológico Nacional (CCN) aquellos incidentes que tengan un impacto significativo en la seguridad de la información que manejan y los servicios que prestan en relación con la categoría del sistema.

En el sector privado, esta obligación se regula en el Reglamento europeo de Protección de Datos. Se deben notificar las brechas de seguridad tanto a los afectados como a la AEPD en un plazo de 72 horas.

Formación

Para una correcta seguridad de la información en la empresa y evitar ser víctimas de ciberataques es fundamental una formación adecuada de los empleados en esta materia.

De esa forma aprenderán a adoptar las medidas necesarias para mantener segura la información que maneja la empresa y sabrán qué acciones no deben realizar porque pondrán en peligro la seguridad informática.

Existen multitud de cursos y máster con los que es posible adquirir esas competencias en ciberseguridad.

Autoridad competente

Las leyes informáticas en España citan los organismos competentes en la materia:

Sanciones por delitos contra la ciberseguridad

Las infracciones de la normativa de ciberseguridad se clasifican en leves, graves y muy graves.

Las sanciones que se prevén son:

Las sanciones firmes en vía administrativa por infracciones muy graves y graves podrán ser publicadas, a costa del sancionado, en:

También se establecen unos criterios de graduación de esas sanciones:

Relación de la normativa de ciberseguridad con la Protección de Datos

La relación entre ciberseguridad y protección de datos es evidente. Y más en un mundo globalizado como el actual.

De hecho, para proteger los datos personales que manejamos debemos implantar unas adecuadas medidas de seguridad informática.

Con la entrada en vigor del Reglamento europeo de Protección de Datos (RGPD) queda patente la relación existente entre ambas.

En relación con los incidentes de seguridad, cada organización deberá comunicar la brecha de seguridad a la autoridad de protección de datos y en casos graves a los afectados tan pronto sean conocidas en un plazo máximo de 72 horas.

¡Cuidado! Debes notificar las brechas de seguridad en un plazo de 72 horas

En este sentido, la organización deberá:

Para ello necesita contar con sistemas de detección, investigación, actuación y reporte internos confiables y ágiles.

Además, tendrán la obligación de comunicar las brechas de seguridad a los afectados en los casos graves tan pronto como sean conocidas.

El Reglamento faculta al responsable del tratamiento de datos personales para adoptar aquellas medidas que garanticen la seguridad de la red y de la información al hacer frente a acontecimientos accidentales, acciones ilícitas o malintencionadas que comprometan la disponibilidad, autenticidad, integridad y confidencialidad de los datos personales y la seguridad de los servicios ofrecidos.

Estas medidas se prestan a través de los sistemas y redes por parte de:

Esto ha sido todo acerca de la legislación sobre seguridad informática. Es probable que en el futuro estas normativas vayan evolucionando y adaptándose a los cambios cada vez más frecuentes de este mundo tecnológico inmerso en la era digital. Si quieres saber más, te recomendamos leer nuestro artículo sobre tendencias de ciberseguridad en el futuro.

¿Necesitas cumplir el RGPD?

Solicita varios presupuestos