Selecciona Edición
Entra en EL PAÍS
Conéctate ¿No estás registrado? Crea tu cuenta Suscríbete
Selecciona Edición
Tamaño letra

El Gobierno podrá multar con un millón de euros a las grandes empresas que oculten ciberataques

La futura ley protege de represalias a los empleados que denuncien incidentes informáticos no reconocidos por las compañías

Sede de la empresa rusa de ciberseguridad KasperskY. Ampliar foto
Sede de la empresa rusa de ciberseguridad KasperskY. TASS/Getty Images.

El Gobierno podrá imponer multas de entre medio millón y un millón de euros a los operadores de servicios esenciales y proveedores de servicios digitales que incurran en infracciones muy graves en materia de ciberseguridad, según el borrador del anteproyecto de Ley sobre la Seguridad de las Redes y Sistemas de Información que el Ministerio de Energía, Turismo y Agenda Digital ha puesto en audiencia pública.

El anteproyecto traspone a la legislación española la Directiva 2016/1148 del Parlamento Europeo y del Consejo, conocida como directiva NIS, que por vez primera contempla la imposición de sanciones por incumplir las normas de ciberseguridad a los operadores críticos (energía, agua, transporte, salud, banca, etc) y a los proveedores de servicios digitales (buscadores, comercio electrónico, computación en nube, etc), pero deja en manos de los Estados la tipificación de las faltas y el importe de las sanciones.

Aunque la mayoría de las empresas denuncian ya los ciberataques de los que son víctimas, algunas los ocultan por temor a ver dañada su imagen o tener que indeminizar a los clientes afectados. La futura ley no solo sanciona estas conductas sino que protege a los empleados o subcontratistas que denuncien estos hechos, quienes "no podrán sufrir consecuencias adversas en su puesto de trabajo o con la empresa", salvo que "se acredite mala fe" en su denuncia.

El texto considera infracciones muy graves no adoptar las medidas requeridas por la autoridad competente cuando ello haya hecho vulnerable a la empresa a un ciberincidente con efectos significativos en el servicio; el incumplimiento reiterado (más de dos veces) de la obligación de notificar incidentes importantes; y el no tomar las medidas necesarias para resolver incidentes que tengan un impacto significativo en servicios esenciales o digitales en España u otros países de la UE.

Como infracciones graves, sancionables con multa de 100.001 a 500.000 euros, incluye el incumplimiento de las precauciones mínimas a adoptar por los operadores de servicios esenciales; desatender tres veces en cinco años los requerimientos para subsanar incumplimientos en materia de ciberseguridad: no notificar incidentes importantes; y demostrar falta de interés en la resolución de incidentes que degraden la calidad del servicio.

Finalmente, ccalifica como faltas leves, sancionables con amonestación o multa de hasta 100.000 euros, el incumplimiento de las normas de seguridad que no constituya infracción grave; la falta de adopción de las medidas requeridas para corregir incumplimientos detectados; no someterse a una auditoría de seguridad o poner obstáculos a la Administración para hacerla; no proporcionar la información solicitada; la falta de notificación de incidentes de menor entidad; facilitar información incompleta sobre los incidentes; o no cumplir las indicaciones del CSIRT (Equipo de Respuesta a Incidentes Cibernéticos, por sus siglas en inglés) correpondiente.

Las autoridades competentes para imponer las sanciones muy graves, que se puiblicarán en el BOE,  serán los ministros de Interior, para los operadores críticos de servicios esenciales, y Energía, para los proveedores de servicios digitales, así como el departamento de Presidencia para los que no tengan carácter crítico.

Aunque la ley afecta a ambos tipos de empresa, no les da el mismo tratamiento. A los proveedores de servicios esenciales la Administración podrá requerirles información sobre la aplicación efectiva de su política de seguridad, así como auditarles o exigirles que se sometan a una auditoría “externa, solvente e independiente”. En cambio, “solo inspeccionará el cumplimiento de las obligaciones derivadas de esta ley [por parte de los proveedores de servicios digitales] cuando tenga noticia de algún incumplimiento por petición razonada de otros órganos o denuncia”.

En aplicación de la directiva europea, la ley crea un "punto de contacto único" para comunicar iincidentes con otros países de la UE, que seá Consejo de Seguridad Nacional,  y mantiene los actuales CERT (Equipo de Respuesta de Emergencia Cibernética), que pasan a denominarse CIRT: el Centro Criptológico Nacional (CCN), para la Administración Pública; el Instituto Nacional de Ciberseguridad (INCIBE), para las empresas privadas; y el Mando Consjunto de Ciberdefensa, para las Fuerzas Armadas.No obstante, da preeminecia al CCN al señalar que "en los supuestos de especial gravedad [...] ejercerá la coordinación nacional de la respuesta técnica".

El borrador del anteproyecto de ley está colgado en la web www.minetad.gob.es y las observaciones pueden remitirse hasta el próximo 8 de enero a la dirección sgssi@minetad.es, mientras que el plazo que tienen los estados de la UE para trasponer la directiva NIS concluye en mayo próximo.