Articulo 63 General de Telecomunicaciones

1. Los operadores de redes públicas de comunicaciones electrónicas y de servicios de comunicaciones electrónicas disponibles al público, gestionarán adecuadamente los riesgos de seguridad que puedan afectar a sus redes y servicios a fin de garantizar un adecuado nivel de seguridad y evitar o reducir al mínimo el impacto de los incidentes de seguridad en los usuarios y en otras redes y servicios, para lo cual deberán adoptar las medidas técnicas y organizativas adecuadas, que deberán ser proporcionadas y en línea con el estado de la técnica, pudiendo incluir el cifrado.

2. Asimismo, los operadores de redes públicas de comunicaciones electrónicas garantizarán la integridad de las mismas a fin de asegurar la continuidad en la prestación de los servicios que utilizan dichas redes.

3. Los operadores que suministren redes públicas o presten servicios de comunicaciones electrónicas disponibles al público notificarán al Ministerio de Asuntos Económicos y Transformación Digital los incidentes de seguridad que hayan tenido un impacto significativo en el suministro de las redes o los servicios.

Con el fin de determinar la importancia del impacto de un incidente de seguridad se tendrán en cuenta, en particular, los parámetros siguientes, cuando se disponga de ellos:

a) el número de usuarios afectados por el incidente de seguridad;

b) la duración del incidente de seguridad;

c) el área geográfica afectada por el incidente de seguridad;

d) la medida en que se ha visto afectado el funcionamiento de la red o del servicio;

e) el alcance del impacto sobre las actividades económicas y sociales.

Cuando proceda, el Ministerio informará a las autoridades nacionales competentes de otros Estados miembros y a la Agencia Europea de Seguridad en las Redes y la Información (ENISA). Asimismo, podrá informar al público o exigir a los operadores que lo hagan, en caso de estimar que la divulgación del incidente de seguridad reviste interés público. Una vez al año, el Ministerio presentará a la Comisión y a la ENISA un informe resumido sobre las notificaciones recibidas y las medidas adoptadas de conformidad con este apartado.

Del mismo modo, el Ministerio comunicará a la Secretaría de Estado de Seguridad del Ministerio del Interior aquellos incidentes que afectando a los operadores estratégicos nacionales sean de interés para la mejora de la protección de infraestructuras críticas, en el marco de la Ley 8/2011, de 28 de abril, reguladora de las mismas. También el Ministerio comunicará a la Comisión Nacional de los Mercados y la Competencia los incidentes de seguridad a que se refiere este apartado que afecten o puedan afectar a las obligaciones específicas impuestas por dicha Comisión en los mercados de referencia.

4. En caso de que exista una amenaza particular y significativa de incidente de seguridad en las redes públicas de comunicaciones electrónicas o en los servicios de comunicaciones electrónicas disponibles para el público, los operadores deberán informar a sus usuarios que pudieran verse afectados por dicha amenaza sobre las posibles medidas de protección o soluciones que pueden adoptar los usuarios. Cuando proceda, los operadores también informarán a sus usuarios sobre la propia amenaza.

5. El Ministerio de Asuntos Económicos y Transformación Digital establecerá los mecanismos para supervisar el cumplimiento de las obligaciones anteriores y, en su caso, dictará las instrucciones correspondientes, que serán vinculantes para los operadores, incluidas las relativas a las medidas necesarias adicionales a las identificadas por los operadores para solventar incidentes de seguridad, o impedir que ocurran cuando se haya observado una amenaza significativa, e incumplimientos de las fechas límite de aplicación. Entre las medidas relativas a la integridad y seguridad de redes y servicios de comunicaciones electrónicas que se puedan exigir a los operadores, podrá imponer:

a) la obligación de facilitar la información necesaria para evaluar la seguridad y la integridad de sus servicios y redes, incluidos los documentos sobre las políticas de seguridad;

b) la obligación de someterse a una auditoría de seguridad realizada por un organismo independiente o por una autoridad competente, y de poner el resultado a disposición del Ministerio de Asuntos Económicos y Transformación Digital. El coste de la auditoría será sufragado por el operador.

6. En particular, los operadores garantizarán la mayor disponibilidad posible de los servicios de comunicaciones vocales y de acceso a internet a través de las redes públicas de comunicaciones electrónicas en caso de fallo catastrófico de la red o en casos de fuerza mayor, y adoptarán todas las medidas necesarias para garantizar el acceso sin interrupciones a los servicios de emergencia y la transmisión ininterrumpida de las alertas públicas.

7. El presente artículo se entiende sin perjuicio de lo establecido en el artículo 4.6.

8. Lo dispuesto en el presente artículo será sin perjuicio de la aplicación del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 y de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales y su normativa de desarrollo.