740 públicos, Estados y Administraciones Públicas. Por ello, la Directiva extiende sus obligaciones a actores privados. Los operadores de servicios esenciales y proveedores de servicios digitales tendrán que establecer una serie de medidas de seguridad para proteger sus redes y sistemas de la información. El aspecto más novedoso y que más implicaciones jurídicas y económicas tiene, está relacionado con el deber de esas empresas de notificar los incidentes graves que afecten a sus redes y sistemas. Se establece la obligación de que estas empresas trasladen «sin dilación indebida» a la autoridad competente o al CSIRT nacional aquellos incidentes de seguridad que sufran y puedan afectar a la continuidad de sus actividades. No obstante, se establece una salvedad en el caso de los proveedores de servicios digitales ya que dicha obligación únicamente se entenderá exigible cuando las empresas tengan acceso a la información necesaria para valorar el impacto de un incidente. En definitiva esta cláusula supone dejar en manos de la empresa que ha sufrido el incidente la capacidad de valorar cuando se considera que se está en posesión de esa información, y en consecuencia, proceder a la comunicación. Además, se establece que cuando los efectos de ese incidente grave puedan extenderse a los servicios esenciales de otro Estado de la Unión, las autoridades nacionales designadas habrán de informar a sus homólogas en los Estados miembros que pudiesen resultar afectados. Su relevancia, y por tanto la obligatoriedad o no de proceder a la notificación de ese incidente, viene fijada en la Directiva por la existencia de unos parámetros, tales como el número de usuarios afectados, la duración del incidente, la extensión geográfica, el grado de perturbación del funcionamiento del servicio o el alcance del impacto. En el marco de esa voluntad de extender la ciberseguridad lo máximo posible en el ámbito de la Unión, la Directiva acude también no solo a la obligación exnorma sino que también prevé que aquellas empresas que no se encuentren obligadas por la propia Directiva, pero quieran notificar los incidentes que afecten a la continuidad de sus servicios, puedan hacerlo de forma voluntaria. A este respecto, uno de los aspectos esenciales para la vigencia de la norma y su aplicación será sin duda, el régimen sancionador que se establezca por el incumplimiento de la Directiva. Se trata sin duda de la cuestión más compleja y delicada de cuantas operaciones jurídicas requiere la trasposición de esta Directiva, ya que como es notorio la fijación de un régimen sancionador supone una limitación del ámbito de libertad de bie3 ƐƉĞĐƚŽƐƌĞůĂƚŝǀŽƐĂůĂŝŶĐŽƌƉŽƌĂĐŝſŶĚĞůĂŝƌĞĐƚŝǀĂE/^ĂůŽƌĚĞŶĂŵŝĞŶƚŽ ũƵƌşĚŝĐŽĞƐƉĂŹŽů sŝĐĞŶƚĞDŽƌĞƚDŝůůĄƐ ŽĐƵŵĞŶƚŽĚĞKƉŝŶŝſŶ ϮϭͬϮϬϭϳ ϴ
BOLETIN IEEE 5
To see the actual publication please follow the link above