OpiniónSeguridad

Covid y ciberataques: las claves legales a tener en cuenta

Por Maria Berlanga, Asociada del área de Derecho Comercial y Nuevas Tecnologías de Bird & Bird.

Que los problemas de seguridad tienen en jaque a las empresas no solo españolas sino de todo el mundo y que la actual crisis sanitaria no ayuda es una realidad que a nadie se le escapa. Son numerosas las noticias que nos han ido alertando estos días del aumento de este tipo de incidentes y de cómo los ciberdelincuentes están aprovechándose de esta situación lanzando ataques de phishing y creando malware con temática de coronavirus.

Pero, ante esta realidad del mundo interconectado en el que vivimos: ¿cuáles son los principales aspectos legales que una empresa debe tener en cuenta en caso de sufrir un problema de seguridad?

En un primer lugar, es posible que tu empresa tenga que dar cumplimiento a la obligación de reporte de incidentes bajo el actual marco regulatorio. Entre otros, el Real Decreto-Ley 12/2018 (ver cuadro) establece que los operadores de servicios esenciales (OSE) y los proveedores de servicios digitales (PSD) establecidos en España deben notificar a la autoridad competente a través del CERT de referencia los incidentes que puedan tener efectos perturbadores significativos en los servicios prestados. Las multas en caso de incumplimiento reiterado de esta obligación podrían alcanzar en algunos casos los cien mil euros.

En España, el equipo de respuesta de referencia para el sector privado es el INCIBE-CERT, operado conjuntamente por el Incibe y el CNPIC en lo referente a la gestión de incidentes que afecte a operadores críticos. En su labor, este CERT de referencia además de la recepción de incidentes a través de los buzones destinados a ello (los cuales pueden consultarse en el portal web oficial del Incibe) emplea técnicas de anticipación y detección temprana de incidentes a partir de la agregación de fuentes de información.

Sin perjuicio de esta obligación de notificación de incidentes, bajo la citada normativa, los OSE y PSD deben además adoptar las medidas de seguridad necesarias para gestionar los riesgos que afecten a la seguridad de las redes y sistemas de información utilizados para la prestación de sus servicios, tanto si se trata de redes y servicios propios como si son de proveedores externos. Los OSE también deben designar dentro de sus organizaciones a un responsable de seguridad de la información que ejercerá las funciones de punto de contacto y coordinación técnica con la autoridad competente.

En qué consistirán estas medidas de seguridad y otros aspectos relativos al proceso de notificación de incidentes es tarea de la normativa de desarrollo del citado Real Decreto actualmente en debate. Si bien, dicho Real Decreto establece que deben tomarse como referencia, entre otras, las medidas recogidas en el anexo II del Real 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad, así como cualquier otro esquema nacional de seguridad existente que pueda ser de aplicación.

En todo caso, con independencia del tamaño o actividad de tu empresa y/o de su consideración o no como OSE o PSD, es muy importante estar preparado y diseñar un plan de seguridad adaptado a las necesidades de la misma en el que se establezca el estado en el que se encuentra la información y los servicios dentro de la misma, se defina qué es lo que se debe proteger mejor, las tareas pendientes y los objetivos de seguridad. La concienciación de los empleados es también una pieza fundamental es este puzle. Así, el hecho de que los trabajadores de una organización estén familiarizados con las políticas de seguridad de esta y que, por ejemplo, no se descarguen ficheros procedentes de correos electrónicos que presente un indicio o patrón fuera de lo habitual puede salvar a la organización de un grave problema de seguridad.

Por último, debemos hacer referencia a la guía nacional de notificación y gestión de ciberincidentes elaborada por el Incibe, cuya lectura es más que recomendable. Se trata de un documento técnico con directrices y orientaciones mínimas acerca de a quién y cómo debe reportarse un incidente de ciberseguridad en el que también se establecen los criterios que clasifican los incidentes según su nivel de peligrosidad.


 

El Real Decreto-Ley 12/2018 de seguridad de las redes y sistemas de información traspone la Directiva (UE) 2016/1148 relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión (Directiva  NIS) en España, convirtiéndose en una de las principales piezas normativas en esta materia, junto al Esquema Nacional de Seguridad (ENS) y a Ley 9/2011 (Ley PIC), entre otras.

Se identificará a un operador como OSE bajo el Real Decreto-Ley 12/2018 si un incidente sufrido por el operador puede llegar a tener efectos perturbadores significativos en la prestación del servicio. La Comisión Nacional para la Protección de las Infraestructuras Críticas es la encargada de aprobar la lista de servicios esenciales dentro de los sectores incluidos en el ámbito de aplicación del citado Real Decreto y de identificar a los operadores que deban sujetarse al mismo.

Se consideran PSD bajo el Real Decreto-Ley 12/2018 a los comercios electrónicos, motores de búsqueda y/o servicios de computación en la nube cuando tengan más de 50 empleados y facturen más de 10 millones de euros al año

Computing 791