Un nuevo escenario jurídico para la ciberseguridad en España: el Real Decreto-Ley 12/2018, de Seguridad de las redes y sistemas de información

El pasado 8 de septiembre se publicó en el BOE el RDL 12/2018, de seguridad de las redes y sistemas de información. El autor analiza la norma, que transpone a nuestro ordenamiento la Directiva UE 20196/1148. La nueva norma se aplicará a las entidades que presten servicios esenciales para la comunidad y dependan de las redes y sistemas de información para el desarrollo de su actividad, así como a los proveedores de determinados servicios digitales.

I. El Real Decreto-Ley 12/2018, de seguridad de las redes y sistemas de información: una esperada trasposición

El pasado día 20 de septiembre de 2018, el Congreso de los Diputados convalidó el Real Decreto-Ley 12/2018 (LA LEY 14378/2018), de seguridad de las redes y sistemas de información, publicado el día 8 de septiembre en el BOE. El Consejo de Ministros del día anterior lo aprobó a propuesta por los ministerios de Presidencia, Relaciones con las Cortes e Igualdad, del Interior y de Economía y Empresas. El objeto de esta norma es transponer al ordenamiento jurídico español la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016 (LA LEY 11863/2016), relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión, más conocida como Directiva NIS.

Como se pone de manifiesto en la propia Exposición de motivos del Real Decreto-Ley, esta norma, que entró en vigor al día siguiente de su publicación, se aplicará a las entidades que presten servicios esenciales para la comunidad y dependan de las redes y sistemas de información para el desarrollo de su actividad, así como a los proveedores de determinados servicios digitales. Estas entidades deberán realizar una evaluación previa de riesgos y deberán adoptar medidas adecuadas para gestionar los riesgos que se planteen para la seguridad de las redes y sistemas de información que utilicen. Tendrán, asimismo, que notificar los incidentes que sufran a la autoridad competente. El Real Decreto-Ley identifica los sectores en los que es necesario garantizar la protección de las redes y sistemas de información, y establece procedimientos para identificar los servicios esenciales ofrecidos en dichos sectores, así como los principales operadores que prestan dichos servicios.

Estas son, muy resumidas, las principales novedades que incluye una norma que, tras su convalidación por el Congreso de los Diputados, está llamada a convertirse en pieza central de la regulación de la ciberseguridad en España, creando nuevas obligaciones a una gran cantidad de actores, así como estableciendo un régimen sancionador ad hoc en caso de incumplimiento de las obligaciones en ella contenidas.

Lo primero que debe desatacarse con carácter general es que, así como hasta ahora el marco regulador en esta materia se había centrado en los actores de carácter público, Gobierno y Administración, a partir de esta norma las obligaciones se extienden a actores privados y a empresas. Se trata de una norma centrada precisamente en alcanzar unos determinados estándares comunes de ciberseguridad en toda la Unión Europea, para lo cual se precisa establecer una regulación del sector que supone la imposición de forma gradual de obligaciones y de procedimientos de control de dichas obligaciones, así como de designar a las autoridades competentes para efectuar esa labor y, en su caso, imponer las sanciones previstas en la norma.

Lograr un adecuado nivel de ciberseguridad en la red es uno de los retos más importantes a los que se enfrentan los Estados a la hora de proteger a sus ciudadanos. A las amenazas ya conocidas relativas a las infraestructuras críticas, las redes de las administraciones públicas, las infraestructuras y sistemas militares, o bien la actividad económica, se une ahora la utilización del ciberespacio como vector de desestabilización política e institucional. En definitiva, el ciberespacio emerge así como un ámbito prioritario de acción de los Estados para proporcionar seguridad a sus ciudadanos. Esta, no debe olvidarse, es la primera de las obligaciones de todo Estado.

En general, se trata de regular un sector de actividad que además tiene unas evidentes implicaciones en el ámbito de la Seguridad nacional. Esa regulación se establece fijando limitaciones a la libre actuación de los sujetos regulados, y utilizando para ello las tradicionales potestades de policía para que las Administraciones públicas controlen el cumplimiento de esas obligaciones contenidas en la norma. Es decir, en este caso se ha seguido el esquema clásico configurado por el derecho administrativo según el cual la Administración ejerce sobre una determinada materia una serie de potestades que en este caso serían de ordenación del sector y de limitación de la actividad privada, en aras a proteger un interés público. En este caso, este consiste en lograr un nivel adecuado de ciberseguridad. En definitiva, se trata de aplicar una política pública de ordenación y control de la actividad privada en este ámbito para garantizar el cumplimiento de la normativa vigente y la protección del bien jurídico seguridad pública. Y por ello, como expresión máxima de esa actividad de policía, se incluye en este Real Decreto-Ley un régimen sancionador que incluye infracciones leves, graves, y muy graves.

Una tarea previa que se impone es determinar si la configuración de esa nueva intervención pública en el sector de la ciberseguridad cumple con los parámetros que deben guiar la regulación en un ámbito tan sensible en un Estado de derecho como es el de la limitación de la actividad de los diferentes actores que participan en la vida económica. Así, desde un punto de vista teórico...