Desde hoy, los operadores de servicios esenciales están obligados a notificar a las autoridades competentes cualquier ciberincidente que pueda tener efectos perturbadores significativos en sus servicios y en los que afecten a las redes y sistemas de información que utilizan, aun cuando no hayan tenido un efecto adverso real.

Estas notificaciones permitirán el intercambio de información entre los operadores de servicios esenciales y proveedores de servicios digitales, las autoridades competentes y los responsables de seguridad en emergencias informáticas (CSIRT) de referencia, y garantizar la confidencialidad, integridad y disponibilidad de la información.

Esta es una de las medidas incluidas en el real decreto 43/2021 publicado hoy en el Boletín Oficial del Estado (BOE) y que desarrolla el Real Decreto-ley que en 2018 transpuso la directiva europea sobre ciberseguridad, la llamada Directiva NIS, que establece requisitos comunes de seguridad para los operadores de servicios esenciales y los proveedores de servicios digitales con ánimo de mejorar la protección frente a las amenazas.

Básicamente, la norma comunitaria insta a los gobiernos a identificar los sectores en los que se debe garantizar la protección de las redes y sistemas de información, a establecer las exigencias de notificación de ciberdelincuentes y a fijar mecanismos para actuar frente a las amenazas que afectan a las redes.

Así, el real decreto publicado hoy en el BOE se aplica a los servicios esenciales -los necesarios para el mantenimiento de las funciones sociales básicas, la salud, la seguridad, el bienestar social y económico de los ciudadanos, o el eficaz funcionamiento de las Instituciones del Estado y las Administraciones Públicas-, que dependan de redes y sistemas de información para desarrollar su actividad en sectores estratégicos.

Se definen como sectores estratégicos la Administración, el espacio, la industria nuclear, la industria química, las instalaciones de investigación, el agua, la energía, la salud, las tecnologías de la información y las comunicaciones, el transporte, la alimentación y el sistema financiero y tributario.

La norma también se aplica a los servicios digitales que sean mercados en línea, motores de búsqueda y servicios de computación en nube, advierte.

Están sometidos al real decreto los operadores de servicios esenciales establecidos en España (con domicilio o residencia fijado en territorio español) y los que estén domiciliados fuera pero ofrezcan a través de un establecimiento permanente en España.

La norma obliga a operadores y proveedores a coordinarse con los CSIRT y con las autoridades competentes para garantizar la seguridad de los servicios estratégicos a través de la Plataforma Nacional de Notificación y Seguimiento de Ciberincidentes que permitirá intercambiar información de manera segura y fiable.

El real decreto puntualiza que dada la especial configuración jurídica del Banco de España, que actúa con autonomía respecto a la Administración General del Estado y que está integrado en el Sistema Europeo de Bancos Centrales y el Mecanismo Único de Supervisión, el organismo supervisor cuenta con sus propios mecanismos de actuación.

En cuanto a los requisitos de seguridad, la norma establece que los operadores de servicios esenciales y proveedores de servicios digitales deberán adoptar las medidas técnicas y de organización "adecuadas y proporcionadas" para gestionar los riesgos que afecten a la seguridad de las redes y sistemas de información, tanto si son propios como externos.

La norma también les obliga a aprobar políticas de seguridad y a designar a un responsable de la seguridad (persona u órgano) que será el punto de contacto con la autoridad competente.

• Left6:No existe configuración de publicidad para el slot solicitado

Los operadores de servicios esenciales tendrán que notificar a la autoridades competentes, a través del CSIRT de referencia, "los incidentes que puedan tener efectos perturbadores significativos en sus servicios, y a avisar de los sucesos o incidencias que, por su nivel de peligrosidad, puedan afectar a las redes y sistemas de información empleados para la prestación de los servicios esenciales, aun cuando no hayan tenido todavía un efecto adverso real".

El anexo del real decreto clasifica los ciberincidentes por su naturaleza: de contenido abusivo (spam, delitos de odio, pornografía infantil o contenido sexual o violento), contendido dañino (malware), obtención de información (escaneo de redes, grabaciones), intentos de intrusión (ataques, compromiso de cuentas), disponibilidad (sabotaje, interrupciones o mala configuración), fraude (phishing, suplantación, derechos de autor), y vulnerabilidad (criptografía o revelación de información).

Divide el nivel de peligrosidad de los incidentes en crítico (ataques dirigidos a organizaciones concretas), muy alto (distribución de malware, robo o sabotaje), alto (pornografía infantil, contenido sexual o violento, phishing, o pérdida de datos, entre otros), medio (discurso de odio, derechos de autor, entre otros) y bajo (spam o escaneo de redes).