Seguridad de las redes y sistemas de información (RDL 12/2018)

El real decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información, transpone al ordenamiento jurídico español la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión. Su objeto es regular la seguridad de las redes y sistemas de información utilizados para la provisión de los servicios esenciales y de los servicios digitales, y establecer un sistema de notificación de incidentes.

El real decreto-ley se aplica a los servicios esenciales identificados en los siguientes sectores estratégicos (1): administración, espacio, industria nuclear, industria química, instalaciones de investigación, agua, energía, salud, tecnologías de la información y las comunicaciones (TIC), transporte, alimentación y sistema financiero y tributario. El real decreto-ley establece un procedimiento de identificación de los Operadores de Servicios Esenciales (OSE), que serán los sujetos obligados por la norma (2).

El real decreto-ley aplica asimismo a los servicios digitales (3) que sean mercados en línea, motores de búsqueda en línea o servicios de computación en nube (4). Los Proveedores de Servicios Digitales (PSD) que entren en el ámbito de aplicación del real decreto-ley deberán comunicar su actividad a la Secretaría de Estado para el Avance Digital (5), para lo que se pone a disposición un formulario en esta Sede Electrónica.

El real decreto-ley establece un marco institucional, imbricado con la Estrategia de Seguridad Nacional, que incluye a Autoridades Competentes, a CSIRT de referencia (equipos de respuesta a incidentes de seguridad informática o CERT), y a un punto de contacto único, encargado de coordinar la aplicación del Real Decreto-Ley con el resto de países de la Unión Europea.

El real decreto ley complementa y refuerza los marcos normativos e institucionales del Sistema de Protección de Infraestructuras Críticas (6) y del Esquema Nacional de Seguridad (7) .


(1) Son los sectores estratégicos definidos en el anexo de la Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas.

(2) Por los órganos y procedimientos previstos por la Ley 8/2011, de 28 de abril, y su normativa de desarrollo. En el caso de tratarse de un operador crítico designado en cumplimiento de la Ley 8/2011, de 28 de abril, bastará con que se constate su dependencia de las redes y sistemas de información para la provisión del servicio esencial de que se trate.

(3) Los servicios digitales son servicios de la sociedad de la información entendidos en el sentido recogido en la letra a) del anexo de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico.

(4) Según vienen definidos en el artículo 3 del real decreto-ley 12/2018, de 7 de septiembre.

(5) Según el artículo 7 y la disposición adicional 4 del real decreto-ley 12/2018, de 7 de septiembre.

(6) Recogido en la Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas, y en su desarrollo normativo.

(7) Regulado por el Real Decreto 3/2010, de 8 de enero.