Una de las principales preocupaciones que enfrentan los Proveedores de Servicios Digitales es el cumplimiento normativo de las distintas leyes y directivas que regulan este sector. En este contexto, el Instituto Nacional de Ciberseguridad (INCIBE) y la Secretaría de Estado de Digitalización e Inteligencia Artificial han puesto a disposición diversas herramientas y enlaces para facilitar a las organizaciones el cumplimiento de las normativas legales vigentes.
Para determinar si una organización se clasifica como Proveedor de Servicios Digitales, debe evaluar si presta servicios de mercado en línea, motores de búsqueda en línea o servicios de computación en la nube, y si se encuentra en España y no es una microempresa o pequeña empresa. Si cumple con estos criterios, es probable que se considere como tal según lo establecido en el Real Decreto-ley 12/2018.
Actualmente, la normativa española aplicable incluye varios decretos y directivas que regulan el sector. Entre ellos se encuentran:
- Real Decreto-ley 12/2018, de 7 de septiembre.
- Real Decreto 43/2021, de 26 de enero.
- Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo.
- Reglamento de Ejecución (UE) 2018/151 de la Comisión, de 30 de enero de 2018.
El Real Decreto-ley 12/2018 establece varias obligaciones para los proveedores de servicios digitales, entre ellas:
- Comunicar su actividad a la autoridad competente.
- Adoptar medidas de seguridad adecuadas y proporcionadas.
- Notificar incidentes de seguridad importantes a la autoridad competente a través de su CSIRT de referencia.
La Secretaría de Estado de Digitalización e Inteligencia Artificial y INCIBE-CERT son las autoridades competentes encargadas de la regulación y cumplimiento de estas normativas. Para cumplir con estas obligaciones, las organizaciones deben seguir ciertos pasos:
Para la comunicación de actividad, debe realizarse en un plazo de tres meses desde el inicio de la actividad, utilizando el formulario disponible en el siguiente enlace: formulario de comunicación de actividad.
En cuanto a la notificación de incidentes, los que tengan un impacto significativo deben notificarse a través de la guía nacional de notificación y gestión de ciberincidentes, disponible en: Guía de notificación de ciberincidentes. Los incidentes pueden reportarse a INCIBE-CERT aquí: Reporte de incidentes a INCIBE-CERT.
Para el cumplimiento de las obligaciones de seguridad, se deben adoptar medidas técnicas y organizativas adecuadas para la gestión de riesgos, según lo especificado en el Reglamento (UE) 2018/151. INCIBE ofrece una herramienta de autoevaluación para ayudar en este proceso, disponible en: Herramienta de autoevaluación.
Este contenido se ha desarrollado en el marco del Plan de Recuperación, Transformación y Resiliencia del Gobierno de España, financiado por la Unión Europea.
