Implementación efectiva del cumplimiento normativo para proveedores de servicios digitales

Elena Digital López

Una de las principales inquietudes que enfrentan los Proveedores de Servicios Digitales es el cumplimiento normativo. En este contexto, INCIBE y la Secretaría de Estado de Digitalización e Inteligencia Artificial han puesto a disposición diversas herramientas y enlaces para facilitar el cumplimiento de las normativas legales.

Para determinar si su organización es un Proveedor de Servicios Digitales, debe evaluar si presta servicios de mercado en línea, motores de búsqueda en línea o servicios de computación en la nube, si no es una microempresa o pequeña empresa y tiene su sede principal en España. Si cumple con estos criterios, es muy probable que se considere como tal según el Real Decreto-ley 12/2018.

Actualmente, la normativa aplicable incluye varios decretos y directivas. Estos son:

  • Real Decreto-ley 12/2018, de 7 de septiembre.
  • Real Decreto 43/2021, de 26 de enero.
  • Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo.
  • Reglamento de Ejecución (UE) 2018/151 de la Comisión, de 30 de enero de 2018.

Las obligaciones para los proveedores de servicios digitales según el Real Decreto-ley 12/2018 son:

  1. Comunicar su actividad a la autoridad competente.
  2. Adoptar medidas de seguridad adecuadas y proporcionadas.
  3. Notificar incidentes de seguridad importantes a la autoridad competente a través de su CSIRT de referencia.

La Secretaría de Estado de Digitalización e Inteligencia Artificial y INCIBE-CERT son las autoridades competentes encargadas de esta regulación.

Para cumplir con estas obligaciones, las organizaciones deben seguir ciertos pasos:

Comunicación de actividad:
Debe comunicarse en un plazo de tres meses desde el inicio de la actividad, utilizando el formulario disponible en el siguiente enlace: enlace al formulario.

Notificación de incidentes:
Los incidentes que tengan un impacto significativo deben notificarse a través de la guía nacional de notificación y gestión de ciberincidentes, disponible en: Guía de notificación de ciberincidentes. Los incidentes pueden reportarse a INCIBE-CERT aquí: Reporte de incidentes a INCIBE-CERT.

Cumplimiento de las obligaciones de seguridad:
Se deben adoptar medidas técnicas y organizativas adecuadas para la gestión de riesgos, según lo especificado en el reglamento (UE) 2018/151. INCIBE ofrece una herramienta de autoevaluación para ayudar en este proceso: Herramienta de autoevaluación.

Este contenido se ha desarrollado en el marco del Plan de Recuperación, Transformación y Resiliencia del Gobierno de España, financiado por la Unión Europea.

Scroll al inicio