Por Alejandra Izaguirre Hernandez
El 6 de julio de 2016, partiendo de la idea de que ya en aquellas fechas las redes y sistemas de información cumplían un papel esencial en la sociedad para las actividades económicas y sociales, y el hecho de que estaban aumentando la magnitud, la frecuencia y los efectos de los incidentes de seguridad, se aprobó por el Parlamento Europeo y del Consejo la llamada Directiva NIS (Security of Network and Information Systems). Como toda directiva, ésta establece los objetivos que los países pertenecientes a la UE deben cumplir, pero no se aplica directamente a éstos por lo que les corresponde elaborar sus propias leyes sobre cómo alcanzar dichos objetivos.
En España, la transposición de esta Directiva se llevó a cabo mediante el Real Decreto-ley 12/2018, de 7 de septiembre, que regula la seguridad de las redes y sistemas de información utilizados para la provisión de los servicios esenciales y los servicios digitales, además de establecer un sistema de notificación de incidentes a las entidades que presten servicios esenciales, así como a los proveedores de determinados servicios digitales. A su vez, esta norma habilita al Gobierno en su disposición final tercera su desarrollo reglamentario, por lo que bajo esa cobertura legal, el 26 de enero de 2021 se publica el Real Decreto 43/2021, que entre otras cuestiones, desarrolla los supuestos la cooperación y coordinación de los CSIRT (Equipos de Respuesta ante Emergencias Informáticas) de referencia: INCIBE, CCN-CERT y MCCE, así como las tareas y apoyo de los CSIRT a los operadores críticos, operadores de servicios esenciales, proveedores de servicios digitales, las autoridades competentes, la Oficina de Coordinación de Ciberseguridad, entre otras entidades.
Así, ninguna de estas normas se aplica a cualquier empresa privada, sino a aquellas que hayan sido designadas como operadores de servicios esenciales o sean consideradas como proveedores de servicios digitales. Los primeros vienen definidos en el RL 12/2018 como entidad pública o privada que se identifique considerando los criterios establecidos en su art. 6, y especialmente si, sufriendo un incidente, el operador pudiera tener efectos perturbadores significativos en la prestación del servicio, teniendo en cuenta al menos factores relativos a la importancia del servicio prestado y a los clientes de la entidad evaluada.
Además de ser un operador esencial, puede llegar a tratarse de un operador crítico, entendido como aquella organización pública o privada que es responsable del funcionamiento de una infraestructura en la que exista una instalación, red, sistema, o equipo físico o de tecnología de la información, catalogada como crítica por resultar indispensable y que no permite soluciones alternativas. Este operador está recogido en la Ley 8/2011 de Protección de las Infraestructuras Críticas.
Por su parte, el anteriormente citado Reglamento señala que se considerarán como proveedores de servicios digitales aquellas personas jurídicas que no sean microempresas o pequeñas empresas que, teniendo su sede en España y, presten un servicio digital, es decir, un servicio prestado normalmente a título oneroso, a distancia, por vía electrónica y a petición individual del destinatario. Este servicio puede ser también no remunerado por sus destinatarios, siempre que constituyan una actividad económica para el prestador de servicios.
En cualquier caso, si existiesen dudas acerca de si una empresa hubiese sido designada como operador de servicios esenciales o proveedor de servicios digitales, en el primer caso deberán haber sido notificadas explícitamente, mientras que en segundo no será necesario, debiendo además comunicar su actividad a la autoridad competente en un plazo de 3 meses desde que la inicien.