El Gobierno multará con hasta un millón de euros a empresas que cometan infracciones en ciberseguridad

Las compañías deberán reducir al mínimo el impacto de los incidentes y notificar los que puedan tener efectos significativos en los servicios

Bolsamanía
Europa Press | 30 nov, 2017 18:30 - Actualizado: 18:55
ep ministerioindustria energiaturismo
Ministerio de Industria, Energía y TurismoEUROPA PRESS

El Gobierno podrá imponer multas de entre 500.001 euros y un millón de euros a aquellos operadores de servicios esenciales y proveedores de servicios digitales que cometan infracciones muy graves en materia de ciberseguridad, como el incumplimiento reiterado de notificar incidentes con efectos significativos en el servicio o no tomar las medidas necesarias para resolverlos.

El Ministerio de Energía, Turismo y Agenda Digital ha sacado a audiencia pública hasta al 8 de febrero el anteproyecto de Ley sobre la seguridad de las redes y sistemas de información, que tiene como objetivo "regular la seguridad de las redes y sistemas de información utilizados para la provisión de los servicios esenciales y de los servicios digitales y establecer un sistema de notificación de incidentes".

El Ministerio remarca que la evolución de las Tecnologías de la Información y de la Comunicación (TIC), especialmente con el desarrollo de Internet, ha hecho que las redes y sistemas de información desempeñen actualmente un "papel crucial" en la sociedad, siendo su fiabilidad y seguridad "aspectos esenciales para el desarrollo normal de las actividades económicas y sociales".

El anteproyecto recoge que los operadores de servicios esenciales y los proveedores de servicios digitales deberán adoptar medidas técnicas y de organización "adecuadas y proporcionadas" para gestionar los riesgos que se planteen para la seguridad de las redes y sistemas de información utilizados en la prestación de los servicios sujetos a esta ley.

El anteproyecto recoge que los operadores de servicios esenciales y los proveedores de servicios digitales deberán adoptar medidas técnicas y de organización "adecuadas y proporcionadas" para gestionar los riesgos

Además, deberán tomar las medidas adecuadas para prevenir y reducir al mínimo el impacto de los incidentes que les afecten y notificar a la autoridad competente los incidentes que puedan tener efectos significativos en los servicios, así como los sucesos o incidencias que puedan afectar las redes y sistemas de información empleados para la prestación de los servicios, pero que aún no hayan tenido un efecto adverso real sobre aquellos.

A este respecto, el anteproyecto recoge que los empleados y el personal que, por cualquier tipo de relación laboral o mercantil, participe en la prestación de los servicios esenciales o digitales que informen sobre incidentes "no podrán sufrir consecuencias adversas en su puesto de trabajo o con la empresa", salvo en los supuestos en que se acredite mala fe en su actuación.

SANCIONES

En este contexto, el anteproyecto incluye un régimen sancionador que clasifica en tres tipos las infracciones de los preceptos incluidos en la ley: muy graves, que tendrán una multa de 500.001 euros hasta un millón de euros; graves, que conllevarán una multa de 100.001 euros hasta 500.000 euros, y leves, que recibirán una amonestación o multa de hasta 100.000 euros.

El texto indica que una infracción muy grave es la falta de adopción de medidas para subsanar los incumplimientos detectados, cuando éstos le hayan hecho vulnerable a un incidente con efectos significativos en el servicio y la compañía no hubiera atendido los requerimientos dictados por la autoridad competente con anterioridad a la producción del incidente.

Las otras son el incumplimiento reiterado (a partir del segundo incumplimiento) de la obligación de notificar incidentes con efectos significativos en el servicio, y no tomar las medidas necesarias para resolver los incidentes cuando éstos tengan un impacto significativo en servicios esenciales o servicios digitales en España o en otros Estados miembros.

Por otro lado, informa de que antes del 9 de noviembre de 2019 se fijará cuales son los servicios esenciales y los operadores correspondientes a los sectores estratégicos energía, transporte, salud, sistema financiero, agua, e infraestructuras digitales, que estarán sujetos a esta ley. Como prestadores de servicios digitales se considera a mercados en línea, motores de búsqueda en línea y servicios de computación en la nube.

contador