El gobiern en 2018 podrà sancionar les grans empreses que ocultin un ciberatac

 

Els ciberatacs massius i a escala global dels passats 12 de maig i 27 de juny, a través dels virus WannaCry i Petya van deixar al descobert la vulnerabilitat de les xarxes d’informació de les que depèn cada vegada més la societat avançada.

Tot i que els efectes d’aquests a Espanya van ser limitats, van confirmar la necessitat de disposar d’un instrument legal que permeti a l’Administració garantir que aquest tipus d’empreses adopten les mesures per protegir els seus sistemes d’informació.

El Govern està treballant actualment en un instrument legal que li dotarà de capacitat per supervisar la seguretat dels sistemes informàtics d’aquestes companyies, imposar-los l’adopció de mesures preventives i fins i tot sancionar-les si no les apliquessin o incomplissin l’obligació de notificar ciberatacs significatius.

Segons l’esborrany de decret llei que ultima el Govern per traslladar a la legislació espanyola la Directiva 016/1148 de Seguretat de les Xarxes i Sistemes d’Informació de la UE les empreses operadores de serveis essencials, com electricitat o transport, i les proveïdores de serveis digitals que NO notifiquin SENSE DILACIÓ ciberatacs significatius soferts o no adoptin mesures per evitar-los podran ser castigades per primera vegada amb sancions efectives, proporcionades i dissuasòries.

Es tracta d’un reial decret llei en l’elaboració participen el Departament de Seguretat Nacional, el Ministeri de l’Interior, el servei secret CNI i la Secretària d’Estat de Societat de la informació i Agenda Digital, que coordina els treballs.

El seu objectiu és traslladar l’anomenada directiva NIS del Parlament Europeu i el Consell, que haurà d’estar incorporada a la legislació dels estats membres el maig del 2018.

Atès el caràcter transnacional dels principals proveïdors de serveis digitals (com cercadors), la directiva obligarà a aquestes companyies a designar un representant en un país de la UE, a la jurisdicció quedaran sotmeses.