¿Cómo se articula la legislación sobre ciberseguridad? ¿Sabes cómo afecta esta normativa a tu empresa? ¿Conoces las principales medidas de seguridad informática? Tranquilo, sabemos que es complicado. Por eso, en este artículo te resolvemos todas las dudas que tengas acerca de la normativa de ciberseguridad.
Ciberseguridad: normativa
Internet y la aparición de nuevas tecnologías ha originado la aparición de nuevas modalidades de delitos e infracciones a las normas que ni siquiera estaban previstas.
Por tanto, es necesario que las diferentes leyes existentes se adapten para regular y proteger a ciudadanos y empresas de todos estos ataques cibernéticos en la medida de lo posible. Y que se establezcan nuevas normativas que regulan las situaciones nuevas, no previstas hasta ahora en el mundo físico.
Lo primero que debemos tener en cuenta es cómo se regula el tema de la ciberseguridad.
Normativa de ciberseguridad en Europa
La normativa europea de ciberseguridad se rige por las siguientes leyes::
- Directiva 2016/1148, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad en las redes y sistemas de información de la Unión.
- Reglamento Europeo de Protección de Datos 2016/679 (RGPD). Establece la implantación de nuevas medidas de seguridad para las empresas europeas, los autónomos y la Administración pública.
- Ley de Seguridad Cibernética (Cybersecurity Act), aprobada el 27 de junio de 2019 por la UE. Esta ley moderniza y refuerza la Agencia de la UE para la ciberseguridad (ENISA) y establece un marco de certificación de la ciberseguridad en toda la UE para productos, servicios y procesos digitales.
Normativa de ciberseguridad en España
¿Cómo es la ley de ciberseguridad en España? ¿Que normativas de aplican para el cumplimiento de la seguridad informática?
En nuestro país existe un Código de Derecho de la Ciberseguridad, publicado en el Boletín Oficial del Estado, que cita las principales normas a tener en cuenta con relación a la protección del ciberespacio.
Este código hace referencia a las siguientes leyes sobre ciberseguridad.
Normativas de seguridad nacional
- Ley 36/2015, de 28 de septiembre, de Seguridad Nacional, que regula los principios y organismos clave así como las funciones que deberán desempeñar para la defensa de la Seguridad Nacional.
- Orden TIN/3016/2011, de 28 de Octubre, por la que se crea el Comité de Seguridad de las Tecnologías de la Información y las Comunicaciones del Ministerio de Trabajo e Inmigración.
Normativas de seguridad
- Ley Orgánica 4/2015, de 30 de marzo, de protección de la seguridad ciudadana.
- Ley 5/2014, de 4 de abril, de Seguridad Privada.
Referidas a las telecomunicaciones
- Ley 34/2002, de 11 de julio, de servicios a la sociedad de la información y comercio electrónico.
- Real Decreto 381/2015, de 14 de mayo, por el que se establecen medidas contra el tráfico no permitido o irregular con fines fraudulentos en comunicaciones electrónicas.
- Ley 50/2003, de 19 de diciembre, de firma electrónica.
- La Ley 9/2014, de 9 de mayo, General de Telecomunicaciones.
- Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones.
Todas esas leyes relacionadas con la seguridad de la información están diseñadas con e objetivo de ofrecer un marco normativo que permita garantizar la seguridad de la información digital y establecer una legislación común a nivel europeo.
Sobre la ciberdelincuencia
- Código Penal,
- Ley Orgánica 5/2000, de 12 de enero, reguladora de la responsabilidad penal de los menores;
- Real Decreto de aprobación de la Ley de Enjuiciamiento Criminal.
Normativa de protección de datos
- Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de carácter personal.
- Reglamento, aprobado por el Real Decreto 1720/2007, de 21 de diciembre. Esto mientra no se apruebe la nueva Ley de Protección de Datos.
Ley sobre la seguridad de las redes y sistemas de información
El Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información tiene por objeto:
- Regular la seguridad de las redes y sistemas de información utilizados para la provisión de los servicios esenciales y de los servicios digitales, y
- Establecer un sistema de notificación de incidentes.
Para ello, la nueva normativa sobre ciberseguridad en España se adapta al ordenamiento jurídico español la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo conocida como «Directiva europea sobre ciberseguridad«.
Esta Ley de seguridad de la información identifica los sectores en los que es necesario garantizar la protección de las redes y sistemas de información, y establece procedimientos para identificar los servicios esenciales ofrecidos en dichos sectores, así como los principales operadores que prestan dichos servicios.
¿A quién afecta la normativa de ciberseguridad?
La normativa de seguridad informática se aplica a los «operadores de servicios esenciales«.
El problema está en determinar quiénes son esos operadores de servicios esenciales.
Para ver qué entidades se encuentran dentro de esta clasificación, se tienen en cuenta varios criterios.
- Si son servicios fundamentales para la sociedad y la economía
- Si dependen o no de otro sistema de redes
- Efectos perjudiciales que tendría una incidencia sobre la prestación de esos servicios o la seguridad pública.
Por tanto, la normativa de seguridad de una empresa incluye a compañías de los siguientes sectores:
- Energía
- Gas: suministradores, red de distribución, transporte o almacenamiento, compañías de gas natural, etc.
- Electricidad: empresas eléctricas, red de distribución y transporte.
- Petróleo: operadores de oleoductos y de producción, refinado, almacenamiento y transporte.
- Transporte
- Aéreo: compañías aéreas
- Ferrocarril: empresas ferroviarias
- Marítimo y fluvial: empresas de transporte de pasajeros o mercancías
- Banca
- Sector sanitario
- Suministro y distribución de agua potable
- Infraestructura digital
- Servicios digitales: tiendas online o nubes de almacenamiento de datos
Empresas excluidas
La regulación sobre ciberseguridad excluye a las siguientes empresas:
- Empresas de suministro de redes públicas de comunicaciones
- Empresas de servicios de comunicaciones electrónicas disponibles al público
- Prestadores de servicios de confianza
- Sectores regulados por leyes específicas que establezcan similares requisitos de seguridad
Obligaciones que establece la normativa
Las principales obligaciones que establece la ley de ciberseguridad son:
- Mejorar sus sistemas de seguridad contra intrusiones y
- Comunicar a las autoridades competentes las violaciones de seguridad que sufran.
Mejora de los sistemas de seguridad
Constantemente conocemos nuevas informaciones sobre ataques informáticos, intrusiones realizadas en sistemas y redes, y robo de información que afectan a compañías nacionales e internacionales de todos los tamaños y sectores.
Estos incidentes de seguridad suponen una amenaza directa no solamente a la continuidad de tu empresa, sino también al valor reputacional de la misma.
Proyectan en tus clientes la sensación de que, si eres negligente en cuanto al cuidado y custodia de tu propia información y procesos, también podrás serlo en cuanto al desarrollo y entrega del servicio o producto que ofreces.
Por eso más vale prevenir que curar.
La ley de seguridad informática en España establece los siguientes mecanismos para mejorar en materia de ciberseguridad:
- Prevención: adoptar las medidas necesarias para prevenir ataques informáticos.
- Detección: si se produce una intrusión, debes detectar el momento en el que se produce y tomar las medidas necesarias para minimizar los daños.
- Restauración: debes restaurar el sistema dañado con las copias de seguridad realizadas anteriormente.
- Análisis forense: con él puedes ver las acciones que el atacante ha realizado en tu sistema.
Notificar los incidentes de seguridad
Las Administraciones públicas o empresas del sector público están obligadas a notificar al Centro Criptológico Nacional (CCN) aquellos incidentes que tengan un impacto significativo en la seguridad de la información que manejan y los servicios que prestan en relación con la categoría del sistema.
En el sector privado, esta obligación se regula en el Reglamento europeo de Protección de Datos. Se deben notificar las brechas de seguridad tanto a los afectados como a la AEPD en un plazo de 72 horas.
Formación
Para una correcta seguridad de la información en la empresa y evitar ser víctimas de ciberataques es fundamental una formación adecuada de los empleados en esta materia.
De esa forma aprenderán a adoptar las medidas necesarias para mantener segura la información que maneja la empresa y sabrán qué acciones no deben realizar porque pondrán en peligro la seguridad informática.
Existen multitud de cursos y máster con los que es posible adquirir esas competencias en ciberseguridad.
Autoridad competente
Las leyes informáticas en España citan los organismos competentes en la materia:
- Para los operadores de servicios esenciales: la Secretaría de Estado de Seguridad, del Ministerio del Interior, a través del Centro Nacional de Protección de Infraestructuras y Ciberseguridad (CNPIC).
- En el caso de que no sean operadores críticos: la autoridad sectorial correspondiente por razón de la materia, según se determine reglamentariamente.
- Para los proveedores de servicios digitales: la Secretaría de Estado para el Avance Digital, del Ministerio de Economía y Empresa.
- Para los operadores de servicios esenciales y proveedores de servicios digitales que no siendo operadores críticos se encuentren comprendidos en el ámbito de aplicación de la Ley de Régimen Jurídico del Sector Público: el Ministerio de Defensa, a través del Centro Criptológico Nacional.
- También puedes consultar nuestro artículo sobre el funcionamiento del INCIBE o Instituto Nacional de Ciberseguridad.
Sanciones por delitos contra la ciberseguridad
Las infracciones de la normativa de ciberseguridad se clasifican en leves, graves y muy graves.
Las sanciones que se prevén son:
- Por la comisión de infracciones muy graves, multa de 500.001 hasta 1.000.000 euros.
- En caso de infracciones graves, multa de 100.001 hasta 500.000 euros.
- Por la comisión de infracciones leves, amonestación o multa hasta 100.000 euros.
Las sanciones firmes en vía administrativa por infracciones muy graves y graves podrán ser publicadas, a costa del sancionado, en:
- Boletín Oficial del Estado y
- página web de la autoridad competente, en atención a los hechos.
También se establecen unos criterios de graduación de esas sanciones:
- Grado de culpabilidad o la existencia de intencionalidad.
- Continuidad o persistencia en la conducta infractora.
- Naturaleza y cuantía de los perjuicios causados.
- Reincidencia, por comisión en el último año de más de una infracción de la misma naturaleza.
- Número de usuarios afectados.
- Volumen de facturación del responsable.
- Utilización por el responsable de programas de recompensa por el descubrimiento de vulnerabilidades en sus redes y sistemas de información.
- Acciones realizadas por el responsable para paliar las consecuencias de la infracción.
Relación de la normativa de ciberseguridad con la Protección de Datos
La relación entre ciberseguridad y protección de datos es evidente. Y más en un mundo globalizado como el actual.
De hecho, para proteger los datos personales que manejamos debemos implantar unas adecuadas medidas de seguridad informática.
Con la entrada en vigor del Reglamento europeo de Protección de Datos (RGPD) queda patente la relación existente entre ambas.
En relación con los incidentes de seguridad, cada organización deberá comunicar la brecha de seguridad a la autoridad de protección de datos y en casos graves a los afectados tan pronto sean conocidas en un plazo máximo de 72 horas.
¡Cuidado! Debes notificar las brechas de seguridad en un plazo de 72 horas
En este sentido, la organización deberá:
- Detectar
- Registrar
- Decidir si procede comunicar el incidente a la autoridad de protección de datos
- Facilitar la información sobre el mismo ante la solicitud de la autoridad
Para ello necesita contar con sistemas de detección, investigación, actuación y reporte internos confiables y ágiles.
Además, tendrán la obligación de comunicar las brechas de seguridad a los afectados en los casos graves tan pronto como sean conocidas.
El Reglamento faculta al responsable del tratamiento de datos personales para adoptar aquellas medidas que garanticen la seguridad de la red y de la información al hacer frente a acontecimientos accidentales, acciones ilícitas o malintencionadas que comprometan la disponibilidad, autenticidad, integridad y confidencialidad de los datos personales y la seguridad de los servicios ofrecidos.
Estas medidas se prestan a través de los sistemas y redes por parte de:
- Autoridades,
- Equipos de respuesta a emergencias informáticas (CERT),
- Equipos de respuesta a incidentes de seguridad informática (CSIRT),
- Proveedores de redes y servicios de comunicaciones electrónicas o
- Proveedores de tecnologías y servicios de seguridad.