contents table Logo Lexparency.es lexp
Directiva (UE) 2016/1148 (NIS)
Network and Information Systems Directive (NIS)
Artículo 14

Artículo 14 — Requisitos en materia de seguridad y notificación de incidentes

  1. Los Estados miembros velarán por que los operadores de servicios esenciales tomen las medidas técnicas y de organización adecuadas y proporcionadas para gestionar los riesgos que se planteen para la seguridad de las redes y sistemas de información que utilizan en sus operaciones. Habida cuenta de la situación, dichas medidas garantizarán un nivel de seguridad de las redes y sistemas de información adecuado en relación con el riesgo planteado.
  2. Los Estados miembros velarán por que los operadores de servicios esenciales tomen medidas adecuadas para prevenir y reducir al mínimo los efectos de los incidentes que afecten la seguridad de las redes y sistemas de información utilizados para la prestación de tales servicios esenciales con el objeto de garantizar su continuidad.
  3. Los Estados miembros velarán por que los operadores de servicios esenciales notifiquen sin dilación indebida a la autoridad competente o al CSIRT los incidentes que tengan efectos significativos en la continuidad de los servicios esenciales que prestan. Las notificaciones incluirán información que permita a la autoridad competente o al CSIRT determinar cualquier efecto transfronterizo del incidente. La notificación no sujetará al notificante a una mayor responsabilidad.
  4. A fin de determinar la importancia de los efectos de un incidente, se tendrán en cuenta, en particular, los siguientes parámetros:
    1. el número de usuarios afectados por la perturbación del servicio esencial;
    2. la duración del incidente;
    3. la extensión geográfica con respecto a la zona afectada por el incidente.
  5. Sobre la base de la información proporcionada en la notificación por el operador de servicios esenciales, la autoridad competente o el CSIRT informará al otro u otros Estados miembros afectados acerca de si el incidente tiene efectos significativos en la continuidad de los servicios esenciales en dicho Estado miembro. Al hacerlo, la autoridad competente o el CSIRT, de conformidad con el Derecho de la Unión o con la legislación nacional acorde con el Derecho de la Unión, mantendrán la seguridad y los intereses comerciales del operador de servicios esenciales así como la confidencialidad de la información proporcionada en su notificación.

    Cuando las circunstancias lo permitan, la autoridad competente o el CSIRT proporcionarán al operador de servicios esenciales notificante la información pertinente con respecto al seguimiento de la notificación de un incidente, por ejemplo la información que podría facilitar la gestión eficaz del incidente.

    A instancias de la autoridad competente o del CSIRT, el punto de contacto único remitirá las notificaciones contempladas en el párrafo primero a los puntos de contacto únicos de otros Estados miembros afectados.

  6. Después de consultar al operador de servicios esenciales notificante, la autoridad competente o el CSIRT podrán informar al público sobre determinados incidentes, cuando la concienciación pública sea necesaria para evitar un incidente o gestionar uno que ya se haya producido.
  7. Las autoridades competentes que actúen juntas dentro del Grupo de cooperación podrán elaborar y adoptar directrices relativas a las circunstancias en las que se exija a los operadores de servicios esenciales que notifiquen incidentes, en particular sobre los parámetros para determinar la importancia de los efectos de un incidente a que se refiere el apartado 4.