Las redes y sistemas de información desempeñan un papel crucial en la sociedad actual. Su fiabilidad y seguridad son esenciales para el desarrollo de las actividades económicas y sociales.
Por otro lado, la magnitud, frecuencia y efectos de los incidentes de seguridad se están incrementando y representan una importante amenaza para el funcionamiento de las redes y sistemas de información, principalmente Internet; y debido al carácter transnacional de dichos elementos, cualquier perturbación grave puede tener un impacto en diferentes países.
Por consiguiente, en el seno de la Unión Europea, la seguridad de las redes y sistemas de información es fundamental para el correcto funcionamiento del mercado interior.
En este contexto, el pasado 6 de julio fue aprobada la Directiva 2016/1148, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión Europea, también conocida como Directiva de Ciberseguridad, cuyo objetivo es formalizar un planteamiento global en la Unión que integre requisitos mínimos comunes en materia de desarrollo de capacidades y planificación, intercambio de información, cooperación y requisitos comunes de seguridad.
Entre otros, figuran como destinatarios últimos de las obligaciones contenidas en la Directiva los siguientes:
a) Operadores de servicios esenciales: aquellas entidades vinculadas a los sectores energético (electricidad, crudo, gas), transporte (aéreo, ferrocarril, marítimo, fluvial y por carretera), bancario, infraestructuras de servicios financieros, sanitario, suministro de agua potable e infraestructura digital que:
presten un servicio esencial para el mantenimiento de actividades sociales/económicas cruciales;
en la prestación de dicho servicio dependan de las redes y sistemas de información; y
a quienes un incidente les provocaría un efecto perturbador significativo en la prestación del servicio.
b) Proveedores de servicios digitales las entidades prestadoras de servicios de ecommerce, motores de búsqueda y servicios de cloud computing.
Se prevé que estos proveedores deberán adoptar medidas técnicas y organizativas adecuadas y proporcionadas para la gestión de riesgos que puedan afectar a la seguridad de las redes y los sistemas de información, para lo cual deberán tener en cuenta:
- La seguridad de los sistemas e instalaciones;
- La gestión de incidentes;
- La gestión de la continuidad de las actividades;
- La supervisión, auditorías y pruebas;
- El cumplimiento de normas internacionales;
Dichas medidas deberán tender a prevenir y reducir al mínimo el impacto que un incidente de seguridad pueda tener en los servicios prestados.
Por otro lado, se exigirá de cada Estado Miembro que adopte una estrategia nacional de seguridad de redes y sistemas de información que establezca los objetivos y las medidas adecuadas con objeto de alcanzar y mantener un elevado nivel de seguridad.
La Directiva de Ciberseguridad será de aplicación en los Estados Miembros a partir del 9 de mayo de 2018.
Desde el área de Tecnologías, Medios y Telecomunicaciones de Santiago Mediano Abogados estamos a vuestra disposición en caso de precisar cualquier aclaración o información adicional al respecto info@santiagomediano.com
Recent comments