El nuevo desarrollo NIS ¿Me aplica? Que no te lo vendanEscrito por Juan Miguel Pulpillo el 20/04/2021 a las 11:36:573276
(Director LEGAL-iTC) Desde marzo de 2021 me han consultado en diversas en diversas ocasiones y diferentes industrias, sobre todo del sector de tratamiento y distribución de aguas, varias cuestiones sobre la aplicación el RD 43/2021, reglamento de desarrollo de la trasposición de la Directiva NIS. Por este motivo, el interés de este artículo para aclarar este aspecto.
La cuestión principal, se plantea sobre su aplicación. La duda surge de la redacción del propio Real Decreto. El artículo 2.1.a) dice que se aplicará a los prestadores de servicios esenciales (...) comprendidos en los sectores estratégicos de la Ley 8/2011 (Ley PIC). Por su parte, el párrafo del artículo 2.2.a) señala que "la identificación de los servicios esenciales y de los operadores que los presten se efectuará por los órganos y procedimientos previstos por la Ley 8/2011". La cuestión muy repetida es ¿Significa esto que SOLO los operadores que hayan sido identificados según los procedimientos de la Ley PIC quedan bajo el ámbito de aplicación de este RD? Pasemos a abordar esta cuestión, teniendo en cuenta que:
El artículo 1 RD 43/2021 que nos señala "Este real decreto tiene por objeto desarrollar el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información, en lo relativo al marco estratégico e institucional de seguridad de las redes y sistemas de información, la supervisión del cumplimiento de las obligaciones de seguridad de los operadores de servicios esenciales y de los proveedores de servicios digitales, y la gestión de incidentes de seguridad."
Por lo tanto, artículo 2 el RD 43/2021 desarrolla el Real Decreto-ley 12/2018 en lo que respecta a (de hecho tiene un alcance muy alineado y común):
Por su parte, el Real Decreto-ley 12/2018 define:
c) Servicio esencial: servicio necesario para el mantenimiento de las funciones sociales básicas, la salud, la seguridad, el bienestar social y económico de los ciudadanos, o el eficaz funcionamiento de las Instituciones del Estado y las Administraciones Públicas, que dependa para su provisión de redes y sistemas de información.
d) Operador de servicios esenciales: entidad pública o privada que se identifique considerando los factores establecidos en el artículo 6 de este real decreto-ley, que preste dichos servicios en alguno de los sectores estratégicos definidos en el anexo de la Ley 8/2011, de 28 de abril.
e) Servicio digital: servicio de la sociedad de la información entendido en el sentido recogido en la letra a) del anexo de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico. f) Proveedor de servicios digitales: persona jurídica que presta un servicio digital.
Atendiendo a lo expuesto respecto al operador de servicios esenciales, el artículo 6 Real Decreto-ley 12/2018 establece respecto a la identificación de servicios esenciales y de operadores de servicios esenciales.
1. La identificación de los servicios esenciales y de los operadores que los presten se efectuará por los órganos y procedimientos previstos por la Ley 8/2011, de 28 de abril, y su normativa de desarrollo. La relación de los servicios esenciales y de los operadores de dichos servicios se actualizará, para cada sector, con una frecuencia bienal, en conjunción con la revisión de los planes estratégicos sectoriales previstos en la Ley 8/2011, de 28 de abril.
Por tanto, a la pregunta que se platea, hay que responder que:
Respecto a los servicios esenciales y los operadores que los presten, la respuesta es SI, si una compañía NO HA SIDO clasificada como operador esencial, no le aplica -por ahora- el RD.
Respecto a los servicios digitales y proveedores de servicios digitales que sean mercados en línea, motores de búsqueda en línea y servicios de computación en nube y que tengan su sede social en España y que constituya su establecimiento principal en la Unión Europea, así como los que, no estando establecidos en la Unión Europea, designen en España a su representante en la Unión para el cumplimiento de la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión. NO es necesario tal clasificación para su aplicación. |