¿Es mi organización Proveedor de Servicios Digitales?
Si su organización presta servicios de mercado en línea, motor de búsqueda en línea o servicios de computación en nube, no es microempresa o pequeña empresa y cuenta con establecimiento principal en España, es muy probable que sea Proveedor de Servicios Digitales según establece el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información.
Normativa aplicable a Proveedores de Servicios Digitales
En la actualidad y hasta la entrada en vigor de la futura trasposición de la directiva NIS2, la normativa aplicable a los Proveedores de Servicios Digitales es la siguiente:
- Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información.
- Real Decreto 43/2021, de 26 de enero, por el que se desarrolla el Real Decreto-ley 12/2018.
- DIRECTIVA (UE) 2016/1148 DEL PARLAMENTO EUROPEO Y DEL CONSEJO, de 6 de julio de 2016.
- REGLAMENTO DE EJECUCIÓN (UE) 2018/151 DE LA COMISIÓN, de 30 de enero de 2018.
Obligaciones que establece la normativa para los Proveedores de Servicios Digitales
El Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información, establece tres obligaciones principales para los Proveedores de Servicios Digitales:
- Comunicar su actividad a la autoridad competente.
- Adoptar medidas de seguridad técnicas y organizativas adecuadas y proporcionadas.
- Notificar incidentes de seguridad que tengan efectos perturbadores significativos en sus servicios a la autoridad competente a través de su CSIRT de referencia.
Autoridad competente y CSIRT de referencia para Proveedores de Servicios Digitales
El Real Decreto-ley 12/2018 establece en sus artículos 9.1 y 11.1, que la autoridad competente y CSIRT de referencia para Proveedores de Servicios Digitales son respectivamente la Secretaría de Estado de Digitalización e Inteligencia Artificial, del Ministerio de Asuntos Económicos y Transformación Digital e INCIBE-CERT, del Instituto Nacional de Ciberseguridad de España.
¿Cómo cumplo con las obligaciones que establece la normativa?
Comunicación de actividad
El Real Decreto-ley 12/2018 establece en su artículo 7, que los Proveedores de Servicios Digitales deberán comunicar su actividad a la autoridad competente en el plazo de tres meses desde la fecha de su inicio, a los meros efectos de su conocimiento.
Para efectuar esta comunicación de actividad como Proveedor de Servicios Digitales, la Secretaría de Estado de Digitalización e Inteligencia Artificial ha habilitado un formulario al que se puede acceder usando el siguiente enlace:
Más información en el enlace a la noticia original
