El Gobierno endurecerá los criterios de evaluación para las dos principales certificaciones de seguridad informática del país: el Sistema de Gestión de Seguridad Informática (ISMS) y el Sistema de Gestión de Seguridad Informática y de Datos Personales (ISMS-P). La medida responde a los recientes hackeos, filtraciones masivas y robos de datos registrados en sistemas de empresas que, pese a contar con dichas certificaciones, no fueron capaces de detectarlos ni atajarlos a tiempo.

Según anunciaron la Comisión de Protección de Información Personal y el Ministerio de Ciencia y TIC, la obtención del ISMS y del ISMS-P, hasta ahora voluntaria, pasará a ser obligatoria para toda entidad que maneje datos personales, en especial organismos públicos, empresas de telefonía móvil e internet y plataformas digitales. En caso de producirse pérdidas de información, se realizarán análisis y evaluaciones adicionales de sus sistemas, y las certificaciones podrán ser anuladas si se detectan fallos. Hasta la fecha no se había registrado ningún caso de invalidación.

El ISMS acredita la adecuación de los sistemas de datos y las medidas técnicas de protección de una entidad a los estándares de seguridad de las redes. Por su parte, el ISMS-P incorpora además la evaluación de las políticas de privacidad.