Real Decreto-ley 12/2018 ¿Ya estamos en Europa?
La ciberseguridad adquiere cada vez más relevancia, llegando incluso a considerarse una prioridad ya que resulta esencial para garantizar el correcto desarrollo de las actividades económicas y sociales, y sobre todo, para el mantenimiento del mercado interior.
El principal motivo por el que el pasado 9 de agosto de 2017, entró en vigor la “Directiva del Parlamento Europeo y del Consejo relativa a medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información de la Unión”, más conocida como Directiva NIS fue la enorme preocupación por el incremento tanto en número como en gravedad de los incidentes relacionados con la ciberseguridad.
Su finalidad no es otra que la de mejorar la seguridad de las redes y sistemas de información de los Estados pertenecientes a la Unión Europea.
Los estados miembros tenían hasta mayo de este año para trasladarla a sus respectivos ordenamientos jurídicos para lograr un elevado nivel común de las redes y sistemas de información dentro de la Unión.
La Directiva NIS establece, principalmente, cinco medidas concretas:
- Todos los estados miembros estarán obligados a adoptar una estrategia nacional de seguridad de las redes y sistemas de información para evitar las desigualdades existentes en la protección de los consumidores y empresas. Comprometiendo la seguridad de la Unión Europea a nivel general.
- Se creará un grupo de cooperación con el objetivo de formular una estrategia común y de permitir el intercambio de información entre los estados miembros.
- Se creará una red de Equipos de Respuesta a Incidentes de Seguridad Informática (red CSIRT) que ayude a constituir una cooperación más rápida y eficaz y a que se forme un clima de confianza entre los distintos países.
- Se establecerán condiciones de seguridad para operadores de servicios esenciales y proveedores de servicios digitales. Aquí, se entiende por operador de servicios esenciales a cualquier entidad pública o privada que preste un servicio dependiente de redes y sistemas de información para el mantenimiento de actividades sociales o económicas. Estas entidades pueden pertenecer a distintos sectores como el energético, bancario o sanitario. En cuanto a los proveedores de servicios digitales, se refiere a toda persona jurídica que preste un servicio digital.
- Las autoridades nacionales de cada estado miembro tendrán obligaciones en todas las tareas relacionadas con la seguridad de redes y sistemas de información.
Pues bien, finalmente el Congreso de los diputados aprobó el decreto sobre ciberseguridad y lo tramitará como ley.
Al Gobierno le urgía la aprobación en la Cámara tras haber sido expedientado por la Comisión Europea al no haber puesto en marcha aún la transposición de la Directiva NIS. Y por este motivo el Gobierno ha acudido a la vía del Real 
Decreto-ley, pues, como se indica en la exposición de motivos, su utilización en el presente caso, “queda justificada por la doctrina del Tribunal Constitucional, que, en su Sentencia 1/2012, de 13 de enero, ha avalado la concurrencia del presupuesto habilitante de la extraordinaria y urgente necesidad del artículo 86.1 de la Constitución, cuando concurra el retraso en la transposición de directivas”.
La finalidad obviamente es garantizar un «elevado nivel común de seguridad y sistemas de información en la UE» y se incluyen exigencias de notificación de ciberataques y donde se recoge la normativa en los artículos del 1 al 42.
En este aspecto, el real decreto-ley se decanta por impulsar la subsanación de la infracción antes que su castigo, el cual, si es necesario dispensarlo, será efectivo, proporcionado y disuasorio, en línea con lo ordenado por la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016.
