contents table Logo Lexparency.es lexp
Directiva (UE) 2016/1148 (NIS)
Network and Information Systems Directive (NIS)
Artículo 16

Artículo 16 — Requisitos en materia de seguridad y notificación de incidentes

  1. Los Estados miembros velarán por que los proveedores de servicios digitales determinen y adopten medidas técnicas y organizativas adecuadas y proporcionadas para gestionar los riesgos existentes para la seguridad de las redes y sistemas de información que se utilizan en el marco de la oferta de servicios en la Unión a que se refiere el anexo III. Habida cuenta de los avances técnicos, dichas medidas garantizarán un nivel de seguridad de las redes y los sistemas de información adecuado en relación con el riesgo planteado, y tendrán en cuenta lo siguiente:
    1. la seguridad de los sistemas e instalaciones;
    2. la gestión de incidentes;
    3. la gestión de la continuidad de las actividades;
    4. la supervisión, auditorías y pruebas;
    5. el cumplimiento de las normas internacionales.
  2. Los Estados miembros velarán por que los proveedores de servicios digitales adopten medidas para prevenir y reducir al mínimo el impacto de los incidentes que afectan a la seguridad de sus redes y sistemas de información en los servicios a que se refiere el anexo III que se ofrecen en la Unión, a fin de garantizar la continuidad de dichos servicios.
  3. Los Estados miembros velarán por que los proveedores de servicios digitales notifiquen sin dilación indebida a la autoridad competente o al CSIRT cualquier incidente que tenga un impacto significativo en la prestación de uno de los servicios a que se refiere el anexo III que ellos ofrezcan en la Unión. Las notificaciones incluirán la información necesaria para que la autoridad competente o el CSIRT puedan determinar la importancia de cualquier impacto transfronterizo. La notificación no sujetará al notificante a una mayor responsabilidad.
  4. Para determinar si el impacto de un incidente es significativo se tendrán en cuenta, en particular, los siguientes parámetros:
    1. el número de usuarios afectados por el incidente, en particular los usuarios que dependen del servicio para la prestación de sus propios servicios;
    2. la duración del incidente;
    3. la extensión geográfica con respecto a la zona afectada por el incidente;
    4. el grado de perturbación del funcionamiento del servicio;
    5. el alcance del impacto sobre las actividades económicas y sociales.

    La obligación de la notificación del incidente únicamente se aplicará cuando el proveedor de servicios digitales tenga acceso a la información necesaria para valorar el impacto de un incidente en función de los parámetros que se indican en el párrafo primero.

  5. Cuando un operador de servicios esenciales dependa de un proveedor tercero de servicios digitales para la prestación de un servicio que es esencial para el mantenimiento de actividades sociales y económicas fundamentales, dicho operador notificará cualquier efecto significativo en la continuidad de los servicios esenciales causado por un incidente que afecte al proveedor de servicios digitales.
  6. Cuando proceda, y en particular si el incidente mencionado en el apartado 3 afecta a dos o varios Estados miembros, la autoridad o el CSIRT al que se haya notificado el incidente informará del mismo a los demás Estados miembros afectados. Al hacerlo, las autoridades competentes, el CSIRT y los puntos de contacto únicos preservarán, de conformidad con el Derecho de la Unión o de la legislación nacional acorde con el Derecho de la Unión, la seguridad y los intereses comerciales del proveedor de servicios digitales así como la confidencialidad de la información facilitada.
  7. Tras consultar al proveedor de servicios digitales afectado, la autoridad competente o el CSIRT al que se le haya notificado el incidente y, en su caso, las autoridades o el CSIRT de los demás Estados miembros afectados, podrán informar al público de determinados incidentes o exigir al proveedor de servicios digitales que lo haga, cuando el conocimiento del público sea necesario para evitar un incidente o hacer frente a un incidente en curso, o cuando la divulgación de un incidente redunde en interés público.
  8. La Comisión adoptará actos de ejecución en los que se especifiquen más los elementos a que se refiere el apartado 1 y los parámetros enumerados en el apartado 4 del presente artículo. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 22, apartado 2, a más tardar el 9 de agosto de 2017.
  9. La Comisión podrá adoptar actos de ejecución por los que se establezcan los formatos y procedimientos aplicables a los requisitos de notificación. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 22, apartado 2.
  10. Sin perjuicio de lo dispuesto en el artículo 1, apartado 6, los Estados miembros no impondrán nuevos requisitos de seguridad o de notificación a los proveedores de servicios digitales.
  11. El presente capítulo no se aplicará a las microempresas y pequeñas empresas tal como se definen en la Recomendación 2003/361/CE de la Comisión(1).

(1) Recomendación 2003/361/CE de la Comisión, de 6 de mayo de 2003, sobre la definición de microempresas, pequeñas y medianas empresas (DO L 124 de 20.5.2003, p. 36).