Diario del Derecho. Edición de 18/04/2024
  • Diario del Derecho en formato RSS
  • ISSN 2254-1438
  • EDICIÓN DE 28/01/2021
 
 

Seguridad de las redes y sistemas de información

28/01/2021
Compartir: 

Real Decreto 43/2021, de 26 de enero, por el que se desarrolla el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información (BOE de 28 de enero de 2021). Texto completo.

REAL DECRETO 43/2021, DE 26 DE ENERO, POR EL QUE SE DESARROLLA EL REAL DECRETO-LEY 12/2018, DE 7 DE SEPTIEMBRE, DE SEGURIDAD DE LAS REDES Y SISTEMAS DE INFORMACIÓN.

En el ámbito europeo, con el objetivo de dar una respuesta efectiva a los problemas de seguridad de las redes y sistemas de información, se aprobó la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión, conocida como la Directiva NIS (Security of Network and Information Systems). Esta norma parte de un enfoque global de la seguridad de las redes y sistemas de información en la Unión Europea, integrando requisitos mínimos comunes en materia de desarrollo de capacidades y planificación, intercambio de información, cooperación y requisitos comunes de seguridad para los operadores de servicios esenciales y los proveedores de servicios digitales.

La transposición de la citada Directiva NIS al ordenamiento jurídico español se llevó a cabo mediante el Real Decreto-ley 12/2018, de 7 de septiembre Vínculo a legislación, de seguridad de las redes y sistemas de información. Esta norma legal regula la seguridad de las redes y sistemas de información utilizados para la provisión de los servicios esenciales y los servicios digitales, estableciendo mecanismos que, con una perspectiva integral, permiten mejorar la protección frente a las amenazas que afectan a las redes y sistemas de información, y fijando un marco institucional de cooperación que facilita la coordinación de las actuaciones realizadas en esta materia tanto a nivel nacional como con los países de nuestro entorno, en particular, dentro de la Unión Europea.

El Real Decreto-ley 12/2018, de 7 de septiembre Vínculo a legislación, habilita al Gobierno, en su disposición final tercera, para su desarrollo reglamentario. Con esa cobertura legal, y en cumplimiento del citado mandato y lo previsto en sus artículos 9.1 a), 11.1 a), 11.2, 16.2, 16.3, 19.1 y 19.5, este real decreto tiene por finalidad desarrollar el Real Decreto-ley 12/2018, de 7 de septiembre Vínculo a legislación, en lo relativo al marco estratégico e institucional de seguridad de las redes y sistemas de información al cumplimiento de las obligaciones de seguridad de los operadores de servicios esenciales y de los proveedores de servicios digitales y a la gestión de incidentes de seguridad.

El real decreto, en su artículo 3, pormenoriza la designación de autoridades competentes en materia de seguridad de las redes y sistemas de información prevista en el artículo 9.1.a) Vínculo a legislación 2.º Vínculo a legislación del Real Decreto-ley 12/2018, de 7 de septiembre. Es oportuno mencionar, en relación con la seguridad en el sector de la alimentación, la participación de la Agencia Española de Seguridad Alimentaria y Nutrición, dependiente del Ministerio de Consumo. Adicionalmente, y de conformidad con el artículo 11 Vínculo a legislación del Real Decreto-ley 12/2018, de 7 de septiembre, el real decreto desarrolla los supuestos de cooperación y coordinación entre los equipos de respuesta a incidentes de seguridad informática (CSIRT) de referencia, y de estos con las autoridades competentes, que se instrumentan a través de la Plataforma Nacional de Notificación y Seguimiento de Ciberincidentes (artículo 4).

Con relación a la figura del punto de contacto único (artículo 5) que consagra la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, se desarrollan sus funciones de enlace para garantizar la cooperación transfronteriza con las autoridades competentes de otros Estados miembros de la Unión Europea, así como con el grupo de cooperación y la red de CSIRT.

Por otra parte, el artículo 6 de este real decreto desarrolla las previsiones del artículo 16.2 Vínculo a legislación del Real Decreto-ley 12/2018, de 7 de septiembre, sobre las medidas necesarias para el cumplimiento de las obligaciones de seguridad por parte de los operadores de servicios esenciales, que habrán de concretarse en una declaración de aplicabilidad de medidas de seguridad suscrita por el responsable de seguridad de la información del operador, cuyas funciones también se desarrollan en el artículo 7 de este real decreto. El plazo para la designación del responsable de la seguridad se establece en cumplimiento de la habilitación recogida en el artículo 16.3 Vínculo a legislación del Real Decreto-ley 12/2018, de 7 de septiembre.

Por lo que se refiere a la notificación de incidentes, el real decreto, en sus artículos 8 y 9, desarrolla las obligaciones de notificación por parte de los operadores de servicios esenciales de los incidentes que puedan tener efectos perturbadores significativos en dichos servicios, así como de los incidentes que puedan afectar a las redes y sistemas de información empleados para la prestación de los servicios esenciales aun cuando no hayan tenido un efecto adverso real sobre aquellos, por referencia a los niveles de impacto y peligrosidad, según sea el caso, previstos en la Instrucción nacional de notificación y gestión de ciberincidentes que se contiene en el anexo.

El procedimiento de notificación de incidentes se articula a través de la Plataforma Nacional de Notificación y Seguimiento de Ciberincidentes (artículos 10 y 11), a fin de permitir el intercambio de información entre los operadores de servicios esenciales y proveedores de servicios digitales, las autoridades competentes y los CSIRT de referencia, garantizando la confidencialidad, integridad y disponibilidad de la información (artículos 12 a 14).

Por último, en materia de supervisión de requisitos de seguridad, el real decreto desarrolla en su artículo 15 la obligación de colaboración de los operadores de servicios esenciales y los proveedores de servicios digitales con las autoridades competentes, que podrán requerir, asimismo, la colaboración de los CSIRT de referencia para el ejercicio de su función de supervisión.

En las disposiciones adicionales de este real decreto se recoge, entre otras materias, el régimen jurídico aplicable al Banco de España teniendo en cuenta su especial configuración jurídica como entidad de Derecho público con personalidad jurídica propia y plena capacidad pública y privada, que en el desarrollo de su actividad y para el cumplimiento de sus fines actúa con autonomía respecto a la Administración General del Estado, y como parte integrante del Sistema Europeo de Bancos Centrales (SEBC) y del Mecanismo Único de Supervisión (MUS). Esta especial configuración jurídica supone que el marco de seguridad de las redes y sistemas de información resulte de aplicación en la medida en que no interfiera con la naturaleza, funciones e independencia del Banco de España.

Este real decreto se adecúa a los principios de buena regulación establecidos en el artículo 129 Vínculo a legislación de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas. Responde, en primer lugar, a los principios de necesidad y eficacia, en tanto que la norma es necesaria para llevar a cabo el desarrollo reglamentario del Real Decreto-ley 12/2018, de 7 de septiembre Vínculo a legislación, que transpone la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016 y, en concreto, para establecer el marco estratégico e institucional de seguridad de las redes y sistemas de información, las obligaciones de seguridad y la gestión de incidentes, siendo el instrumento más idóneo para la consecución de este objetivo. En segundo término, la norma cumple con el principio de proporcionalidad, al no existir otras medidas menos gravosas para los operadores de servicios esenciales y proveedores de servicios digitales destinadas a cumplir la obligación de adoptar medidas técnicas y de organización para gestionar los riesgos para la seguridad de sus redes y sistemas de información, así como de notificar los incidentes que tengan efectos perturbadores significativos en los servicios que prestan. Asimismo, este real decreto cumple con el principio de seguridad jurídica, resultando el proyecto conforme a la directiva europea de la que trae causa, así como con la Ley 8/2011, de 28 de abril Vínculo a legislación, por la que se establecen medidas para la protección de las infraestructuras críticas y su normativa de desarrollo, la Ley 36/2015, de 28 de septiembre Vínculo a legislación, de Seguridad Nacional, y la normativa comunitaria y nacional en materia de protección de datos. Se ha cumplido igualmente con el principio de transparencia, al haber sometido el proyecto de real decreto al trámite de audiencia, definiéndose claramente los objetivos de la iniciativa normativa y su justificación. Por último, este real decreto resulta conforme con el principio de eficiencia, dado que no se establecen cargas adicionales a las contempladas en el real decreto-ley que desarrolla.

En la elaboración de este real decreto se ha solicitado informe de todos los departamentos ministeriales, así como de la Agencia Española de Protección de Datos, de la Comisión Nacional de los Mercados y de la Competencia, de la Comisión Nacional del Mercado de Valores, del Consejo de Seguridad Nuclear, y del Banco de España. Adicionalmente, se ha solicitado informe a todas las comunidades autónomas y se ha dado audiencia a las organizaciones representativas de los sectores afectados.

En su virtud, a propuesta conjunta de la Vicepresidenta Tercera del Gobierno y Ministra de Asuntos Económicos y Transformación Digital, de la Ministra de Defensa, del Ministro del Interior y de la Vicepresidenta Primera del Gobierno y Ministra de la Presidencia, Relaciones con las Cortes y Memoria Democrática, con la aprobación previa de la Ministra de Política Territorial y Función Pública, de acuerdo con el Consejo de Estado, y previa deliberación del Consejo de Ministros en su reunión del día 26 de enero de 2021,

DISPONGO:

CAPÍTULO I

Disposiciones generales

Artículo 1. Objeto.

Este real decreto tiene por objeto desarrollar el Real Decreto-ley 12/2018, de 7 de septiembre Vínculo a legislación, de seguridad de las redes y sistemas de información, en lo relativo al marco estratégico e institucional de seguridad de las redes y sistemas de información, la supervisión del cumplimiento de las obligaciones de seguridad de los operadores de servicios esenciales y de los proveedores de servicios digitales, y la gestión de incidentes de seguridad.

Artículo 2. Ámbito de aplicación.

1. De conformidad con el artículo 2 Vínculo a legislación del Real Decreto-ley 12/2018, de 7 de septiembre, este real decreto se aplicará a la prestación de:

a) Los servicios esenciales dependientes de las redes y sistemas de información comprendidos en los sectores estratégicos definidos en el anexo de la Ley 8/2011, de 28 de abril Vínculo a legislación, por la que se establecen medidas para la protección de las infraestructuras críticas.

b) Los servicios digitales que sean mercados en línea, motores de búsqueda en línea y servicios de computación en nube.

2. Estarán sometidos a este real decreto:

a) Los operadores de servicios esenciales establecidos en España. Se entenderá que un operador de servicios esenciales está establecido en España cuando su residencia o domicilio social se encuentren en territorio español, siempre que estos coincidan con el lugar en que esté efectivamente centralizada la gestión administrativa y la dirección de sus negocios o actividades.

Así mismo, este real decreto será de aplicación a los servicios esenciales que los operadores residentes o domiciliados en otro Estado ofrezcan a través de un establecimiento permanente situado en España.

De conformidad con lo previsto en el apartado 1 del artículo 6 Vínculo a legislación del Real Decreto-ley 12/2018, la identificación de los servicios esenciales y de los operadores que los presten se efectuará por los órganos y procedimientos previstos por la Ley 8/2011, de 28 de abril Vínculo a legislación, por la que se establecen medidas para la protección de las infraestructuras críticas, y su normativa de desarrollo, en particular el Real Decreto 704/2011, de 20 de mayo Vínculo a legislación, por el que se aprueba el Reglamento de protección de las infraestructuras críticas.

b) Los proveedores de servicios digitales que tengan su sede social en España y que constituya su establecimiento principal en la Unión Europea, así como los que, no estando establecidos en la Unión Europea, designen en España a su representante en la Unión para el cumplimiento de la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión.

3. Este real decreto no se aplicará a:

a) Los operadores de redes y servicios de comunicaciones electrónicas y los prestadores de servicios electrónicos de confianza que no sean designados como operadores críticos en virtud de la Ley 8/2011, de 28 de abril Vínculo a legislación.

b) Los proveedores de servicios digitales cuando se trate de microempresas o pequeñas empresas, de acuerdo con las definiciones recogidas en la Recomendación 2003/361/CE de la Comisión, de 6 de mayo de 2003, sobre la definición de microempresas, pequeñas y medianas empresas.

4. De conformidad con el artículo 18 Vínculo a legislación del Real Decreto-ley 12/2018, de 7 de septiembre, cuando una normativa nacional o comunitaria establezca para un sector obligaciones de seguridad de las redes y sistemas de información o de notificación de incidentes que tengan efectos, al menos, equivalentes a los de las obligaciones previstas en el Real Decreto-ley 12/2018, de 7 de septiembre Vínculo a legislación, prevalecerán aquellos requisitos y los mecanismos de supervisión correspondientes.

CAPÍTULO II

Marco estratégico e institucional

Artículo 3. Autoridades competentes.

Las autoridades competentes en materia de seguridad de las redes y sistemas de información serán, con carácter general, las establecidas en el artículo 9.1 Vínculo a legislación del Real Decreto-ley 12/2018, de 7 de septiembre. En particular, son autoridades competentes para los operadores de servicios esenciales que no sean operadores críticos de acuerdo con la Ley 8/2011, de 28 de abril Vínculo a legislación, y que no estén incluidos en el ámbito de aplicación de la Ley 40/2015, de 1 de octubre Vínculo a legislación, de Régimen Jurídico del Sector Público, las siguientes:

a) Respecto al sector del transporte: el Ministerio de Transportes, Movilidad y Agenda Urbana, a través de la Secretaría de Estado de Transportes, Movilidad y Agenda Urbana.

b) Respecto al sector de la energía: el Ministerio para la Transición Ecológica y el Reto Demográfico, a través de la Secretaría de Estado de Energía.

c) Respecto al sector de las tecnologías de la información y las telecomunicaciones: el Ministerio de Asuntos Económicos y Transformación Digital, a través de la Secretaría de Estado de Digitalización e Inteligencia Artificial y la Secretaría de Estado de Telecomunicaciones e Infraestructuras Digitales.

d) Respecto al sector del sistema financiero:

1.º El Ministerio de Asuntos Económicos y Transformación Digital, a través de la Secretaría de Estado de Economía y Apoyo a la Empresa, en el ámbito de los seguros y fondos de pensiones.

2.º El Banco de España, para las entidades de crédito.

3.º La Comisión Nacional del Mercado de Valores, para las entidades que prestan servicios de inversión y las sociedades gestoras de instituciones de inversión colectiva.

e) Respecto al sector del espacio: el Ministerio de Defensa, a través de la Secretaría de Estado de Defensa.

f) Respecto al sector de la industria química: el Ministerio de Interior, a través de la Secretaría de Estado de Seguridad.

g) Respecto al sector de las instalaciones de investigación: el Ministerio de Ciencia e Innovación, a través de la Secretaría General de Investigación.

h) Respecto al sector de la salud: el Ministerio de Sanidad, a través de la Secretaría de Estado de Sanidad.

i) Respecto al sector del agua: el Ministerio para la Transición Ecológica y el Reto Demográfico, a través de la Secretaría de Estado de Medio Ambiente.

j) Respecto al sector de la alimentación:

1.º El Ministerio de Agricultura, Pesca y Alimentación, a través de la Secretaría General de Agricultura y Alimentación.

2.º El Ministerio de Sanidad, a través de la Secretaría de Estado de Sanidad.

3.º El Ministerio de Industria, Comercio y Turismo, a través de la Secretaría de Estado de Comercio.

4.º El Ministerio de Consumo, a través de la Agencia Española de Seguridad Alimentaria y Nutrición (AESAN).

k) Respecto al sector de la industria nuclear:

1.º El Ministerio para la Transición Ecológica y el Reto Demográfico, a través de la Secretaría de Estado de Energía.

2.º El Consejo de Seguridad Nuclear.

Artículo 4. Cooperación y coordinación de los CSIRT de referencia.

1. La cooperación entre los CSIRT de referencia, y entre estos y las autoridades competentes, se instrumentará a través de la Plataforma Nacional de Notificación y Seguimiento de Ciberincidentes regulada en el artículo 11.

2. A efectos de la cooperación prevista en el artículo 11.1.a) Vínculo a legislación 3.º Vínculo a legislación del Real Decreto-ley 12/2018, de 7 de septiembre, se entenderá que son operadores con incidencia en la Defensa Nacional aquellos proveedores de servicios esenciales básicos para el funcionamiento del Ministerio de Defensa o para la operatividad de las Fuerzas Armadas que se establezcan, a propuesta del Ministerio de Defensa, por la Comisión Nacional para la Protección de las Infraestructuras Críticas.

La designación como operador con incidencia en la Defensa Nacional se llevará a cabo de conformidad con lo previsto en el Reglamento de protección de las infraestructuras críticas, aprobado por el Real Decreto 704/2011, de 20 de mayo Vínculo a legislación. Así mismo, los CSIRT de referencia serán informados de la identidad de los operadores de servicios esenciales de su comunidad que sean designados operadores con incidencia en la Defensa Nacional.

El Ministerio de Defensa comunicará oportunamente a la Comisión Nacional para la Protección de las Infraestructuras Críticas las actualizaciones derivadas de cambios de operadores en la provisión de estos servicios, que activarán las correspondientes notificaciones de alta o baja como operadores con incidencia en la Defensa Nacional tanto a los propios operadores como a sus CSIRT de referencia.

Cuando un operador con incidencia en la Defensa Nacional sufra un incidente deberá analizar si, por su alcance, este pudiera tener impacto en el funcionamiento del Ministerio de Defensa o en la operatividad de las Fuerzas Armadas. En el caso de que así fuera, lo pondrá de inmediato en conocimiento de su CSIRT de referencia, quien informará al ESPDEF-CERT del Mando Conjunto del Ciberespacio a través de los canales establecidos. En estos casos, el ESPDEF-CERT del Mando Conjunto del Ciberespacio deberá ser oportunamente informado de la evolución de la gestión del incidente.

3. Los supuestos de especial gravedad a los que se refiere el artículo 11.2 Vínculo a legislación párrafo primero del Real Decreto-ley 12/2018, de 7 de septiembre, en los que el CCN-CERT ejercerá la coordinación nacional de la respuesta técnica de los CSIRT, serán todos aquellos que, atendiendo a la naturaleza de las notificaciones inicial o sucesivas del incidente recibidas por el CSIRT de referencia, posean un impacto o nivel de peligrosidad muy alta o crítica de acuerdo con lo establecido en el anexo, y exijan un nivel de coordinación técnica con los otros CSIRT de referencia superior al necesario en situaciones ordinarias.

El Consejo Nacional de Ciberseguridad será inmediatamente informado y podrá desactivar la coordinación prevista en este artículo, que únicamente podrá producirse cuando haya cesado la situación prevista en el párrafo anterior y que no afectará al proceso de notificación de incidentes regulados en los artículos 11 Vínculo a legislación, 19.1 Vínculo a legislación y 19.2 Vínculo a legislación del Real Decreto-ley 12/2018, de 7 de septiembre.

4. El CCN-CERT, en el caso previsto en el apartado anterior, y la Oficina de Coordinación de Ciberseguridad del Ministerio del Interior (OCC), en los supuestos previstos en el artículo 11.2 Vínculo a legislación párrafo segundo del Real Decreto-ley 12/2018, de 7 de septiembre, requerirán al CSIRT de referencia, tras la primera notificación del incidente, al menos la siguiente información:

a) Confirmación de que son correctos los datos asignados al incidente, en particular verificando, si existe esta información, la validez de:

1.º La clasificación del incidente.

2.º La peligrosidad del incidente.

3.º El impacto del incidente.

b) Plan de acción del CSIRT para abordar la resolución técnica del incidente, si procede.

c) Cualquier información que permita determinar el posible impacto transfronterizo del incidente.

Siempre que sea posible se empleará la Plataforma Nacional de Notificación y Seguimiento de Ciberincidentes para las comunicaciones consideradas en este apartado.

Artículo 5. Punto de contacto único.

1. En su función de enlace para garantizar la cooperación transfronteriza de las autoridades competentes designadas conforme al artículo 9 Vínculo a legislación del Real Decreto-ley 12/2018, de 7 de septiembre, con las autoridades competentes de otros Estados miembros de la Unión Europea, así como con el grupo de cooperación contemplado en el artículo 11 de la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, y la red de CSIRT, el Consejo de Seguridad Nacional, a través del Departamento de Seguridad Nacional:

a) Comunicará a la Comisión Europea la lista de los operadores de servicios esenciales nacionales establecidos para cada sector y subsector a los que se refiere el artículo 6 Vínculo a legislación del Real Decreto-ley 12/2018, de 7 de septiembre e informará a los puntos de contacto único de otros Estados sobre la intención de identificación de un operador de servicios esenciales de otro Estado miembro que ofrezca servicios en España.

b) Transmitirá a los puntos de contacto de otros Estados miembros de la Unión Europea afectados la información sobre incidentes con impacto transfronterizo que le transmitan las autoridades competentes o CSIRT de referencia, según lo establecido en el artículo 25 Vínculo a legislación del Real Decreto-ley 12/2018, de 7 de septiembre.

c) Remitirá a los CSIRT de referencia y a las autoridades competentes nacionales la correspondiente información sobre incidentes que puedan tener efectos perturbadores en los servicios esenciales que reciba de los puntos de contacto de los correspondientes Estados miembros, para que adopten las medidas oportunas en el ejercicio de sus funciones respectivas.

d) Dictará las instrucciones pertinentes a las autoridades competentes para que elaboren, anualmente, el informe al que se refiere el artículo 27.1 Vínculo a legislación del Real Decreto-ley 12/2018, de 7 de septiembre, sobre el tipo y número de incidentes comunicados, sus efectos en los servicios prestados o en otros servicios y su carácter nacional o transfronterizo dentro de la Unión Europea, teniendo en cuenta las indicaciones del grupo de cooperación respecto al formato y contenido de la información a transmitir.

e) Recabará de las autoridades competentes el informe anual al que se refiere la letra anterior, y elaborará un informe anual resumido sobre las notificaciones recibidas, que remitirá al grupo de cooperación antes del 15 de febrero de cada año y, posteriormente, a las autoridades competentes y a los CSIRT de referencia, para su conocimiento.

2. Adicionalmente a las funciones de enlace previstas en el apartado anterior, y de conformidad con lo previsto en el artículo 9.2 Vínculo a legislación del Real Decreto-ley 12/2018, de 7 de septiembre, el Consejo de Seguridad Nacional, a través de su comité especializado en materia de ciberseguridad, garantizará la coordinación de las actuaciones de las autoridades competentes mediante:

a) El fomento de la coherencia entre los requisitos de seguridad específicos que en su caso adopten las autoridades competentes, conforme a lo previsto en el artículo 6.6 de este real decreto.

b) El fomento de la coherencia entre las obligaciones específicas que en su caso establezcan las autoridades competentes, conforme a lo previsto en el artículo 8.3 de este real decreto.

c) El impulso de la coordinación de las disposiciones y actuaciones de las autoridades competentes y las actuaciones de los CSIRT de referencia con las disposiciones y actuaciones en materia de seguridad de la información de las autoridades de protección de datos y de seguridad pública.

3. Del mismo modo, el Consejo de Seguridad Nacional ejercerá las funciones de coordinación previstas en el apartado 2 anterior en los supuestos contemplados en el artículo 18 Vínculo a legislación del Real Decreto-ley 12/2018, de 7 de septiembre.

CAPÍTULO III

Requisitos de seguridad

Artículo 6. Medidas para el cumplimiento de las obligaciones de seguridad.

1. Los operadores de servicios esenciales y los proveedores de servicios digitales deberán adoptar las medidas técnicas y de organización adecuadas y proporcionadas para gestionar los riesgos que afecten a la seguridad de las redes y sistemas de información utilizados para la prestación de sus servicios, tanto si se trata de redes y sistemas propios, como de proveedores externos.

2. En el caso de los operadores de servicios esenciales, deberán aprobar unas políticas de seguridad de las redes y sistemas de información, atendiendo a los principios de seguridad integral, gestión de riesgos, prevención, respuesta y recuperación, líneas de defensa, reevaluación periódica y segregación de tareas.

Dichas políticas considerarán, como mínimo, los siguientes aspectos:

a) Análisis y gestión de riesgos.

b) Gestión de riesgos de terceros o proveedores.

c) Catálogo de medidas de seguridad, organizativas, tecnológicas y físicas.

d) Gestión del personal y profesionalidad.

e) Adquisición de productos o servicios de seguridad.

f) Detección y gestión de incidentes.

g) Planes de recuperación y aseguramiento de la continuidad de las operaciones.

h) Mejora continua.

i) Interconexión de sistemas.

j) Registro de la actividad de los usuarios.

3. Las medidas de seguridad que se adopten por los operadores de servicios esenciales deberán tener en cuenta, en particular, la dependencia de las redes y sistemas de información y la continuidad de servicios o suministros contratados por el operador, así como las interacciones que presenten con redes y sistemas de información de terceros.

4. La relación de medidas adoptadas se formalizará en un documento denominado Declaración de Aplicabilidad de medidas de seguridad, que será suscrito por el responsable de seguridad de la información designado conforme a lo previsto en el artículo siguiente y que se incluirá en la política de seguridad que apruebe la Dirección de la organización. Dicho documento, que deberá remitirse a la autoridad competente respectiva en el plazo de seis meses desde la designación del operador como operador de servicios esenciales, deberá revisarse, al menos, cada tres años. Tanto la Declaración de Aplicabilidad de medidas de seguridad inicial, como sus sucesivas revisiones serán objeto de supervisión por la autoridad competente respectiva, según se prevé en el artículo 14 de este real decreto.

5. Las medidas a las que se refieren los apartados anteriores tomarán como referencia las recogidas en el anexo II del Real Decreto 3/2010, de 8 de enero Vínculo a legislación, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, en la medida en que sean aplicables, y se basarán, cuando sea posible, en otros esquemas nacionales de seguridad existentes.

Sin perjuicio de lo anterior, podrán tenerse en cuenta otros estándares reconocidos internacionalmente.

6. Las medidas adoptadas podrán ser complementadas con otras, atendiendo a necesidades específicas, entre ellas, la posibilidad de exigir un documento de aplicabilidad de los sistemas afectados por esta normativa, en aquellos operadores con entornos de sistemas de información especialmente complejos. En particular, se complementarán con las que, en su caso, establezcan con carácter específico las autoridades competentes, de conformidad con lo previsto en el artículo 16.4 y el artículo 32.2 Vínculo a legislación del Real Decreto-ley 12/2018, de 7 de septiembre.

7. En la elaboración de las políticas de seguridad de las redes y sistemas de información se tendrán en cuenta los riesgos que se derivan del tratamiento de los datos personales, de acuerdo con el artículo 24 del Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE Vínculo a legislación (en adelante, Reglamento general de protección de datos Vínculo a legislación ). En caso de que el análisis de gestión de riesgos de acuerdo con el Reglamento general de protección de datos exija medidas adicionales a implantar respecto de las previstas en el Real Decreto 3/2010, de 8 de enero Vínculo a legislación, se adoptarán las medidas de acuerdo con el artículo 24.1 Vínculo a legislación del Reglamento general de protección de datos.

Artículo 7. Responsable de la seguridad de la información.

1. Los operadores de servicios esenciales designarán una persona, unidad u órgano colegiado, responsable de la seguridad de la información que ejercerá las funciones de punto de contacto y coordinación técnica con la autoridad competente y CSIRT de referencia que le corresponda de conformidad con lo previsto en el apartado tercero. En el supuesto de que el responsable de seguridad de la información sea una unidad u órgano colegiado, se deberá designar una persona física representante, así como un sustituto de este que asumirá sus funciones en casos de ausencia, vacante o enfermedad. El plazo para llevar a cabo dicha designación será de tres meses desde su designación como operador de servicios esenciales.

2. Los operadores de servicios esenciales comunicarán a la autoridad competente respectiva la designación del responsable de la seguridad de la información dentro del plazo establecido en el apartado anterior, así como los nombramientos y ceses que afecten a la designación del responsable de la seguridad de la información en el plazo de un mes desde que aquellos se produzcan.

3. El responsable de la seguridad de la información actuará como punto de contacto con la autoridad competente en materia de supervisión de los requisitos de seguridad de las redes y sistemas de información, y como punto de contacto especializado para la coordinación de la gestión de los incidentes con el CSIRT de referencia. Se desarrollarán bajo su responsabilidad, entre otras, las siguientes funciones:

a) Elaborar y proponer para aprobación por la organización, de conformidad con lo establecido en el artículo 6.2 de este real decreto, las políticas de seguridad, que incluirán las medidas técnicas y organizativas, adecuadas y proporcionadas, para gestionar los riesgos que se planteen para la seguridad de las redes y sistemas de información utilizados y para prevenir y reducir al mínimo los efectos de los ciberincidentes que afecten a la organización y los servicios, de conformidad con lo dispuesto en el artículo 6.

b) Supervisar y desarrollar la aplicación de las políticas de seguridad, normativas y procedimientos derivados de la organización, supervisar su efectividad y llevar a cabo controles periódicos de seguridad.

c) Elaborar el documento de Declaración de Aplicabilidad de medidas de seguridad considerado en el artículo 6.3 párrafo segundo de este real decreto.

d) Actuar como capacitador de buenas prácticas en seguridad de las redes y sistemas de información, tanto en aspectos físicos como lógicos.

e) Remitir a la autoridad competente, a través del CSIRT de referencia y sin dilación indebida, las notificaciones de incidentes que tengan efectos perturbadores en la prestación de los servicios a los que se refiere el artículo 19.1 Vínculo a legislación del Real Decreto-ley 12/2018, de 7 de septiembre.

f) Recibir, interpretar y supervisar la aplicación de las instrucciones y guías emanadas de la autoridad competente, tanto para la operativa habitual como para la subsanación de las deficiencias observadas.

g) Recopilar, preparar y suministrar información o documentación a la autoridad competente o el CSIRT de referencia, a su solicitud o por propia iniciativa.

El responsable de la seguridad de la información, para desarrollar estas funciones, se podrá apoyar en servicios prestados por terceros.

4. Los operadores de servicios esenciales garantizarán que el responsable de la seguridad de la información cumpla con los siguientes requisitos:

a) Contar con personal con conocimientos especializados y experiencia en materia de ciberseguridad, desde los puntos de vista organizativo, técnico y jurídico, adecuados al desempeño de las funciones indicadas en el apartado anterior.

b) Contar con los recursos necesarios para el desarrollo de dichas funciones.

c) Ostentar una posición en la organización que facilite el desarrollo de sus funciones, participando de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la seguridad, y manteniendo una comunicación real y efectiva con la alta dirección.

d) Mantener la debida independencia respecto de los responsables de las redes y los sistemas de información.

5. Siempre que concurran los requisitos de conocimiento, experiencia, independencia y, en su caso, titulación, las funciones y responsabilidades encomendadas al responsable de la seguridad de la información podrán compatibilizarse con las señaladas para el Responsable de Seguridad y Enlace y el Responsable de Seguridad del Esquema Nacional de Seguridad, de conformidad con lo dispuesto en la normativa aplicable a estas figuras.

CAPÍTULO IV

Gestión de incidentes de seguridad

Artículo 8. Gestión de incidentes de seguridad.

1. Los operadores de servicios esenciales y los proveedores de servicios digitales deberán gestionar y resolver los incidentes de seguridad que afecten a las redes y sistemas de información utilizados para la prestación de sus servicios. En el caso de redes y sistemas que no sean propios los operadores deberán tomar las medidas necesarias para garantizar que dichas acciones se lleven a cabo por los proveedores externos.

Esta obligación alcanza tanto a los incidentes detectados por el propio operador o proveedor como a los que les señalen el CSIRT de referencia o la autoridad competente, cuando tengan conocimiento de alguna circunstancia que haga sospechar de la existencia de un incidente.

2. Sin perjuicio de lo previsto en el artículo 28.1 Vínculo a legislación del Real Decreto-ley 12/2018, de 7 de septiembre, los operadores de servicios esenciales y los proveedores de servicios digitales podrán solicitar voluntariamente ayuda especializada del CSIRT de referencia para la gestión de los incidentes, debiendo en tales casos atender a las indicaciones que reciban de este para resolver el incidente, mitigar sus efectos y reponer los sistemas afectados.

3. En la resolución de los incidentes, los operadores de servicios esenciales aplicarán los aspectos pertinentes de la política de gestión de la seguridad de las redes y sistemas de información a la que se refiere el artículo 6, así como las obligaciones específicas que en su caso establezcan las autoridades competentes.

Artículo 9. Obligaciones de notificación de incidentes de los operadores de servicios esenciales.

1. Los operadores de servicios esenciales notificarán a la autoridad competente respectiva, a través del CSIRT de referencia, los incidentes que puedan tener efectos perturbadores significativos en dichos servicios, considerándose a tal efecto los incidentes con un nivel de impacto crítico, muy alto o alto, según el detalle que se especifica en el apartado 4 de la Instrucción nacional de notificación y gestión de ciberincidentes, que se contiene en el anexo de este real decreto.

Asimismo, notificarán los sucesos o incidencias que, por su nivel de peligrosidad, puedan afectar a las redes y sistemas de información empleados para la prestación de los servicios esenciales, aun cuando no hayan tenido todavía un efecto adverso real sobre aquellos. A estos efectos, se considerarán los incidentes con un nivel de peligrosidad crítico, muy alto o alto, según el detalle que se especifica en el apartado 3 de la citada Instrucción.

2. Sin perjuicio de lo anterior, las autoridades competentes podrán establecer, de conformidad con el artículo 19.5 Vínculo a legislación del Real Decreto-ley 12/2018, de 7 de septiembre, obligaciones específicas de notificación que contemplen niveles diferentes a los previstos en la Instrucción nacional de notificación y gestión de ciberincidentes, así como factores y umbrales sectoriales específicos, aplicables a los operadores sometidos a su supervisión.

3. La notificación de un ciberincidente conforme a este real decreto no excluye ni sustituye la notificación que de los mismos hechos deba realizarse a otros organismos conforme a su normativa específica.

En particular, las obligaciones de notificación previstas en los apartados anteriores son independientes de las que deban realizarse a la Agencia Española de Protección de Datos conforme a lo previsto en el artículo 33 Vínculo a legislación del Reglamento general de protección de datos, sin perjuicio de la cooperación entre autoridades prevista en el artículo 29 Vínculo a legislación del Real Decreto-ley 12/2018, y la posibilidad de acceso por parte de la citada agencia a la plataforma común de notificación de incidentes prevista en su disposición adicional tercera.

A estos efectos, las notificaciones previstas en los apartados 1 y 2 de este artículo incluirán la información que, para los casos de violación de la seguridad de los datos personales, se contenga en los formularios aprobados por la Agencia Española de Protección de Datos.

Artículo 10. Procedimientos de notificación de incidentes.

1. Los CSIRT de referencia garantizarán un intercambio fluido de información con las autoridades competentes que correspondan, asegurando el adecuado seguimiento durante la gestión de los incidentes, así como el acceso a la información empleada en las distintas fases que componen la gestión de incidentes.

2. Los operadores de servicios esenciales realizarán las notificaciones a través del responsable de la seguridad de la información designado.

En el caso de que un operador de servicios esenciales reúna los criterios previstos en el artículo 6.2 Vínculo a legislación del Real Decreto-ley 12/2018, de 7 de septiembre, sobre seguridad de las redes y sistemas de información, el responsable de la seguridad de la información se coordinará a estos efectos con el Responsable de Seguridad y Enlace previsto en el artículo 16 Vínculo a legislación de la Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas.

3. Los operadores de servicios esenciales deberán realizar una primera notificación tan pronto como dispongan de información para determinar que se dan las circunstancias para la notificación, atendiendo a los factores y umbrales correspondientes.

Se efectuarán las notificaciones intermedias que sean precisas para actualizar o completar la información incorporada a la notificación inicial, e informar sobre la evolución del incidente, mientras este no esté resuelto, y se realizará una notificación final del incidente tras su resolución, informando del detalle de la evolución del suceso, la valoración de la probabilidad de su repetición, y las medidas correctoras que eventualmente tenga previsto adoptar el operador. Los umbrales temporales exigidos para dichas notificaciones serán los recogidos en el anexo de este real decreto.

4. Las notificaciones incluirán, en cuanto esté disponible, la información que permita determinar cualquier efecto transfronterizo del incidente.

5. Lo establecido en los apartados anteriores será de aplicación a los proveedores de servicios digitales en tanto que no se regule de modo diferente en los actos de ejecución previstos en el artículo 16.9 de la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión.

6. El CSIRT de referencia, en colaboración con la autoridad competente, valorará con prontitud dicha información con vistas a determinar si el incidente puede tener efectos perturbadores significativos para los servicios esenciales prestados en otros Estados miembros de la Unión Europea, informando en tal caso a través del punto de contacto único a los Estados miembros afectados.

Asimismo, la autoridad competente valorará, conjuntamente con el correspondiente CSIRT de referencia, la información sobre incidentes con posibles impactos transfronterizos que reciba de otros Estados miembros, y se lo indicará y transmitirá la información relevante a los operadores de servicios esenciales que puedan verse afectados.

Artículo 11. Plataforma Nacional de Notificación y Seguimiento de Ciberincidentes.

1. El CCN-CERT en colaboración con el INCIBE-CERT y el ESPDEF-CERT del Mando Conjunto del Ciberespacio pondrá a disposición de todos los actores involucrados la Plataforma Nacional de Notificación y Seguimiento de Ciberincidentes a la que se refiere el artículo 19.4 Vínculo a legislación del Real Decreto-ley 12/2018, de 7 de septiembre.

2. La plataforma permitirá el intercambio de información y el seguimiento de incidentes entre los operadores de servicios esenciales o proveedores de servicios digitales, las autoridades competentes y los CSIRT de referencia de manera segura y confiable, sin perjuicio de los requisitos específicos que apliquen en materia de protección de datos de carácter personal.

3. Esta plataforma deberá garantizar asimismo la disponibilidad, autenticidad, integridad y confidencialidad de la información, así como podrá emplearse también para dar cumplimiento a la exigencia de notificación derivada de regulaciones sectoriales, de acuerdo con el artículo 19.5 Vínculo a legislación del Real Decreto-ley 12/2018, de 7 de septiembre.

4. La plataforma dispondrá asimismo de diversos canales de comunicación para su uso por parte de las autoridades competentes y los CSIRT de referencia. La plataforma garantizará el acceso de las autoridades competentes a toda la información relativa a la notificación y estado de situación de los incidentes de su ámbito de competencia que les permita efectuar en todo momento el necesario seguimiento y control de su estado de situación. Igualmente, las autoridades competentes tendrán acceso a través de la plataforma a datos estadísticos, en particular a los necesarios para generar los informes a los que hace mención el artículo 5.

5. Asimismo, la plataforma implementará el procedimiento de notificación y gestión de incidentes, que estará disponible durante todas las horas del día y todos los días del año, y dispondrá como mínimo de las siguientes capacidades:

a) Capacidad de gestión de ciberincidentes, con incorporación de taxonomía, criticidad y notificaciones a terceros, según lo establecido en el anexo.

b) Capacidad de intercambio de información sobre ciberamenazas.

c) Capacidad de análisis de muestras.

d) Capacidad de registro y notificación de vulnerabilidades.

e) Capacidad de comunicaciones seguras entre los actores involucrados en diferentes formatos y plataformas.

f) Capacidad de intercambio masivo de datos.

g) Generación de estadísticas e informes agregados.

Artículo 12. Información sobre incidentes.

1. Cuando las circunstancias lo permitan, los CSIRT de referencia proporcionarán a los operadores de servicios esenciales y a los proveedores de servicios digitales notificantes la información pertinente con respecto al seguimiento de la notificación de un incidente, en particular aquella que pueda facilitar la gestión eficaz del incidente.

2. Asimismo, las autoridades competentes y los CSIRT de referencia proporcionarán a los operadores de servicios esenciales y a los proveedores de servicios digitales que pudieran verse afectados por dichos incidentes la información que pudiera serles relevante para prevenir y en su caso resolver el incidente.

3. Al proporcionar la información a la que se refieren los apartados anteriores, las autoridades competentes y los CSIRT de referencia velarán por los intereses comerciales de los operadores de servicios esenciales y proveedores de servicios digitales, preservando la confidencialidad de la información que recaben de estos, de conformidad con lo establecido en el artículo 15 Vínculo a legislación del Real Decreto-ley 12/2018, de 7 de septiembre.

Artículo 13. Actuaciones ante incidentes con carácter presuntamente delictivo.

En cumplimiento de lo dispuesto en el artículo 262 de la Ley de Enjuiciamiento Criminal, la OCC comunicará a la mayor brevedad posible al Ministerio Fiscal y, en su caso, a las Unidades orgánicas de Policía Judicial competentes, aquellos incidentes de seguridad que le sean notificados y que revistan carácter presuntamente delictivo, trasladando al tiempo la información que posea en relación con ello. A dicho fin podrá requerir de los operadores afectados o de los CSIRT de referencia cuanta información relacionada con el incidente se estime necesaria.

Artículo 14. Consulta con otras autoridades.

1. Las consultas con otras autoridades con competencia en materia de seguridad pública y seguridad ciudadana, previstas en el artículo 14.1 Vínculo a legislación del Real Decreto-ley 12/2018, de 7 de septiembre, se realizarán a través de la OCC.

2. Las consultas relativas al resto de materias previstas en el citado artículo 14 se realizarán directamente a las autoridades competentes correspondientes.

CAPÍTULO V

Supervisión

Artículo 15. Supervisión del cumplimiento de obligaciones de seguridad y de notificación de incidentes.

1. Las autoridades competentes supervisarán en su ámbito de actuación el cumplimiento de las obligaciones de seguridad y de notificación de incidentes que sean de aplicación a los operadores de servicios esenciales y a los proveedores de servicios digitales de conformidad con el Real Decreto-ley 12/2018, de 7 de septiembre Vínculo a legislación, y este real decreto.

2. Los operadores de servicios esenciales y los proveedores de servicios digitales colaborarán con la autoridad competente en dicha supervisión, facilitando las actuaciones de inspección, proporcionando toda la información que a tal efecto se les requiera, y aplicando las instrucciones dictadas, en su caso, para la subsanación de las deficiencias observadas.

3. El cumplimiento de las obligaciones de seguridad en las redes y sistemas de información podrá ser acreditado mediante la certificación en un esquema de seguridad que, previa consulta al CSIRT de referencia, sea reconocido por la autoridad competente.

4. Las autoridades competentes podrán realizar las actuaciones inspectoras que sean precisas para el ejercicio de su función de control. En particular, las actuaciones de inspección de las autoridades competentes, que podrán ser apoyadas por los CSIRT de referencia, tendrán por objeto:

a) Controlar el cumplimiento de las normas e instrucciones técnicas que, en su caso, resulten aplicables a los operadores sujetos a su supervisión.

b) Verificar el cumplimiento de las funciones del responsable de seguridad de la información designado por los operadores de servicios esenciales, según lo previsto en el artículo 7.3 de este real decreto.

c) Realizar las comprobaciones, inspecciones, pruebas y revisiones necesarias para verificar el cumplimiento de las medidas de seguridad previstas en el artículo 6, en particular, la política de seguridad de los operadores de servicios esenciales y la Declaración de aplicabilidad de medidas de seguridad.

De conformidad con lo previsto en el artículo 32.1 Vínculo a legislación del Real Decreto-ley 12/2018, de 7 de septiembre, cuando el volumen o complejidad de las actuaciones de inspección que deban desarrollarse así lo aconseje, las autoridades competentes podrán requerir al operador de servicios esenciales la remisión de un informe de auditoría, elaborado por una entidad externa, solvente e independiente, sobre la seguridad de sus redes y sistemas de información.

5. Los CSIRT de referencia colaborarán con las autoridades competentes, cuando estas se lo requieran, en el ejercicio de las funciones a las que se refiere el apartado anterior. En particular, facilitarán asesoramiento técnico sobre la idoneidad de las medidas de seguridad adoptadas por los operadores de servicios esenciales y los proveedores de servicios digitales en virtud del artículo 6 de este real decreto.

Asimismo, cuando se trate de operadores con incidencia en la Defensa Nacional a que se refiere el artículo 4.2 de este real decreto, el ESPDEF-CERT del Mando Conjunto del Ciberespacio podrá colaborar en la supervisión con la autoridad competente.

6. En el caso de los proveedores de servicios digitales la supervisión se llevará a cabo de manera coordinada con las autoridades competentes correspondientes de los Estados miembros de la Unión Europea donde dichos proveedores presten servicios o tengan su establecimiento principal en la Unión.

Disposición adicional primera. Designación del responsable de la seguridad de la información por los operadores de servicios esenciales designados.

Los operadores de servicios esenciales designados conforme a lo previsto en la disposición adicional primera del Real Decreto-ley 12/2018, de 7 de septiembre Vínculo a legislación, deberán comunicar a la autoridad competente respectiva la identidad del responsable de la seguridad de la información en el plazo de tres meses desde la entrada en vigor de este real decreto.

Disposición adicional segunda. Orientaciones para la gestión de incidentes y cumplimiento de las obligaciones de notificación.

El Consejo de Seguridad Nacional, a propuesta de su comité especializado en materia de ciberseguridad, y articuladas sus funciones como punto de contacto único a través del Departamento de Seguridad Nacional, podrá aprobar orientaciones en relación con la Instrucción Nacional de Notificación y Gestión de Incidentes recogida en el anexo, así como para la actualización de la Guía Nacional de Notificación y Gestión de Ciberincidentes, que incluyan directrices y recomendaciones para el cumplimiento de las obligaciones de notificación previstas en este real decreto, así como en el Real Decreto-ley 12/2018, de 7 de septiembre Vínculo a legislación, con objeto de mejorar la coordinación y optimizar los recursos dedicados a la gestión de los incidentes que afecten a la seguridad de las redes y sistemas de información.

Disposición adicional tercera. Régimen específico del Banco de España.

Las disposiciones del presente real decreto se entenderán sin perjuicio de las competencias y funciones atribuidas al Banco de España, al Banco Central Europeo y al Sistema Europeo de Bancos Centrales, de conformidad con el Tratado de Funcionamiento de la Unión Europea Vínculo a legislación, los Estatutos del Sistema Europeo de Bancos Centrales y del Banco Central Europeo, Reglamento (UE) n.º 1024/2013 del Consejo, de 15 de octubre de 2013, que encomienda al Banco Central Europeo tareas específicas respecto de políticas relacionadas con la supervisión prudencial de las entidades de crédito, y la Ley 13/1994, de 1 de junio Vínculo a legislación, de Autonomía del Banco de España.

En lo no previsto en su normativa específica, y en cuanto sea compatible con su naturaleza, funciones e independencia, será de aplicación al Banco de España lo previsto en este real decreto.

Disposición adicional cuarta. Supuesto de dependencia de proveedores externos.

En referencia al artículo 19.3 Vínculo a legislación del Real Decreto-ley 12/2018, de 7 de septiembre, cuando los operadores de servicios esenciales o proveedores de servicios digitales dependan de proveedores externos a los que les sea de aplicación la disposición adicional novena de la Ley 34/2002, de 11 de julio Vínculo a legislación, de servicios de la sociedad de la información y de comercio electrónico, el Equipo de Respuesta ante Emergencias Informáticas (CERT) competente del proveedor externo se corresponderá con:

a) El CCN-CERT, del Centro Criptológico Nacional, cuando el proveedor esté incluido en el ámbito subjetivo de aplicación de la Ley 40/2015, de 1 de octubre Vínculo a legislación.

b) El INCIBE-CERT, del Instituto Nacional de Ciberseguridad de España, en el resto de los casos.

Disposición adicional quinta. Tratamientos de datos de carácter personal.

Los tratamientos de datos de carácter personal de las personas físicas se realizarán con estricta sujeción a lo dispuesto en el Reglamento (UE) 2016/679 del Parlamento Europeo y el Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a su libre circulación; en la Ley Orgánica 3/2018, de 5 de diciembre Vínculo a legislación, de Protección de Datos Personales y garantía de los derechos digitales, y, en su caso, en la normativa sobre protección de datos personales especial o específica que resulte de aplicación.

Disposición adicional sexta. Información sobre incidentes en el sistema financiero.

Los CSIRT de referencia informarán al titular de la Secretaría de Estado de Economía y Apoyo a la Empresa, a través de la Secretaría General del Tesoro y Financiación Internacional, de los incidentes que puedan tener efectos perturbadores significativos en los servicios esenciales del sistema financiero. A estos efectos, se entenderá que tienen efectos perturbadores significativos cuando su umbral o nivel de impacto sea crítico, muy alto o alto, según lo señalado en el anexo de este real decreto.

Disposición transitoria única. Desempeño transitorio de funciones en el sector energético.

La Secretaría de Estado de Seguridad del Ministerio del Interior, a través de la Oficina de Coordinación de Ciberseguridad (OCC), desempeñará temporalmente las funciones atribuidas por este real decreto al departamento ministerial con competencias en materia de energía, hasta que este disponga de los recursos humanos necesarios con la formación adecuada para ejercer estas competencias de forma efectiva según lo previsto en el artículo 3 y, en todo caso, en un plazo máximo de 12 meses.

Disposición final primera. Título competencial.

Este real decreto se dicta al amparo de lo previsto en el artículo 149.1.21.ª Vínculo a legislación y 29.ª Vínculo a legislación de la Constitución, que atribuye al Estado competencia exclusiva en materia de régimen general de telecomunicaciones y seguridad pública, respectivamente.

Disposición final segunda. Habilitación para el desarrollo normativo y aplicación.

Se faculta a los titulares de los Ministerios de Asuntos Económicos y Transformación Digital, Interior y Defensa, así como a los titulares de los Ministerios y organismos relacionados en el artículo 3, para dictar conjunta o separadamente, según las materias de que se trate, y en el ámbito de sus respectivas competencias, las disposiciones que exijan el desarrollo y aplicación de este real decreto.

Disposición final tercera. Entrada en vigor.

El presente real decreto entrará en vigor el día siguiente al de su publicación en el “Boletín Oficial del Estado”.

Anexos

Omitidos.

Comentarios

Escribir un comentario

Para poder opinar es necesario el registro. Si ya es usuario registrado, escriba su nombre de usuario y contraseña:

 

Si desea registrase en www.iustel.com y poder escribir un comentario, puede hacerlo a través el siguiente enlace: Registrarme en www.iustel.com.

  • Iustel no es responsable de los comentarios escritos por los usuarios.
  • No está permitido verter comentarios contrarios a las leyes españolas o injuriantes.
  • Reservado el derecho a eliminar los comentarios que consideremos fuera de tema.

Revista El Cronista:

Revista El Cronista del Estado Social y Democrático de Derecho

Lo más leído:

  1. Actualidad: La AN condena al excomisario de Barajas a 5 años de cárcel por dar un trato VIP en el aeropuerto a cambio de regalos
  2. Estudios y Comentarios: Confederal y federal; por Francisco Sosa Wagner, catedrático universitario
  3. Actualidad: El Supremo obliga a Extremadura a facilitar a un paciente de una enfermedad rara un medicamento excluido del sistema de salud
  4. Estudios y Comentarios: La inteligente inteligencia artificial; por Antonio Garrigues Walker, jurista
  5. Actualidad: El TSJM anula la prisión permanente al joven que mató a Isaac y le condena a veinte años por homicidio
  6. Legislación: Servicio de Emergencias Sanitarias
  7. Actualidad: El Gobierno impulsará una ley para reforzar la protección de las víctimas de violencia de género y su derecho de acceso a la Justicia
  8. Actualidad: El Supremo confirma el suicidio de un trabajador como accidente laboral
  9. Legislación: Estructura orgánica del Departamento de Medio Ambiente y Turismo
  10. Tribunal Supremo: La prórroga de la suspensión del lanzamiento del ejecutado hipotecario que permanece en situación de precario en una vivienda, no es automática y debe ser solicitada por el interesado

Revistas Generales de Derecho:

Secciones:

Boletines Oficiales:

 

© PORTALDERECHO 2001-2024

Icono de conformidad con el Nivel Doble-A, de las Directrices de Accesibilidad para el Contenido Web 1.0 del W3C-WAI: abre una nueva ventana