El Real Decreto 43/2021 que se publicó el 28 de Enero exige llevar a cabo acciones de carácter inmediato en el ámbito de la ciberseguridad a dos grandes grupos de organizaciones:
- las de los operadores de servicios esenciales y
- las de prestadores de servicios digitales.
Este decreto supone la necesidad de adaptar y preparar estas organizaciones al nuevo marco de la directiva NIS; de lo contrario se podrían derivar responsabilidades.
La norma es una herramienta para impulsar las iniciativas destinadas a lograr un adecuado nivel de seguridad a las empresas afectadas, ya que pasan a estar obligadas a tener un CISO, y establece una serie de obligaciones.
¿Qué implica el cumplimiento de este marco normativo?
Esta norma jurídica desarrolla el Real Decreto Ley 12/2018, de seguridad de las redes y sistemas de información, y la directiva europea NIS (Security of Network and Information Systems), norma que parte de un enfoque global de la seguridad de las redes y sistemas de información en la Unión Europea.
Las principales obligaciones para las entidades que conformen los dos grandes grupos Infraestructuras críticas y Operadores de Servicios digitales, derivadas de la efectiva aplicación del RD-Ley 12/2018 y de este RD 43/2021 que lo desarrolla, son:
- Establecer un
estatuto jurídico para el cargo de CISO, que recoja las responsabilidades y funciones, tanto técnicas como organizativas y jurídicas dentro de la organización.
- Designar y nombrar internamente a un CISO, que cumpla con tales características, en el plazo máximo de tres meses a contar desde la publicación del RD 43/2021 el 28 de enero (fecha límite abril de 2021 inclusive) y dotar a esta figura de los medios necesarios
- Establecer una Política de seguridad de redes y sistemas que englobe el modelo de gobernanza en materia de ciberseguridad, el sector de actividad afectado y las especificaciones concretas a seguir por la empresa. Permitiendo con ello enlazarlo con el
Plan Director de Seguridad implantado en la empresa, en el cual se definan el conjunto de proyectos de seguridad de la información que permitan acotar y controlar los riesgos relativos al ámbito de la ciberseguridad.
- En consecuencia, y en función de lo dispuesto en la Política de seguridad de redes y sistemas,
elaborar una Declaración de Aplicabilidad
que deberá ser entregada en un plazo máximo de 6 meses (hasta julio 2021 inclusive) a la autoridad competente que corresponda según el sector de actividad.
- Valorar la certificación en un marco de referencia técnico como el
Esquema Nacional de Seguridad (ENS) u otros esquemas alternativos equivalentes, como elemento sustitutivo de la acción supervisora y que permita acreditar el cumplimiento de las obligaciones técnicas y organizativas en materia de ciberseguridad.
- Adaptar las políticas y procedimientos organizativos y/o corporativos ya implantados especialmente en lo que respecta al ámbito de ciberseguridad y de acuerdo al marco técnico de referencia por el cual se haya optado.
- Coordinar las actividades de ciberseguridad con las establecidas en materia de protección de datos, de acuerdo a las pautas de convergencia a las que hace mención el RD 43/2021.
- Aprobar una política de gestión de riesgos respecto a terceros proveedores externos, que puedan considerarse críticos en dicho ámbito.
- Adaptar los convenios, acuerdos y contratos a las directrices de este marco normativo, en lo que respecta a productos y servicios de terceros suministradores, en función de la clasificación en cuanto a riesgo y criticidad establecida por la política anterior.
¿Qué ámbitos se encuentran dentro de la norma?
Conforme al alcance del RD 43/2021 (junto con el RD-Ley 12/2018 que desarrolla) será de aplicación a dos grandes grupos en función del sector y área estratégica:
Infraestructuras críticas:
- Energía:
- Electricidad: empresas eléctricas, gestores de la red de distribución y gestores de la red de transporte.
- Crudo: operadores de oleoductos y de producción, refinado, tratamiento, almacenamiento y transporte.
- Gas: suministradoras, gestores de red de distribución, gestores de red de transporte, almacenamiento, gestores de red GNL, compañías de gas natural y gestores de las instalaciones de refinado y tratamiento de gas natural.
- Nuclear: centrales eléctricas de almacenamiento, manipulación, fisión, distribución y transporte de residuos, mercancías peligrosas, materiales nucleares, radiológicos, etc.
- Hidráulica: suministro y distribución de agua potable.
- Química: producción, almacenamiento y transporte de mercancías peligrosas, materiales químicos, etc.
- Investigación: laboratorios que por su idiosincrasia dispongan o produzcan materiales, sustancias o elementos críticos o peligrosos
- Sanitaria: prestadores de asistencia sanitaria, en especial hospitales y clínicas públicas y privadas.
- Alimentación: gestión de la producción, almacenamiento y distribución.
- Espacio exterior: Instalaciones en espacio marítimo, aéreo y ultraterrestre.
- Transporte:
- Aéreo: compañías aéreas, gestoras de aeropuertos (en lo relativo a la gestión de pistas y no servicios accesorios como zonas comerciales) y gestión de tráfico aéreo.
- Ferrocarril: administradores de infraestructuras y empresas ferroviarias.
- Marítimo y fluvial: empresas de transporte marítimo, fluvial y de cabotaje, tanto de mercancías como de pasajeros, gestores de puertos, operadores de servicios de tráfico de buques y fluvial, y por carretera).
- Financiera y tributaria: entidades bancarias y de crédito y mercados de valores
Operadores de servicios digitales
- Operadores de telecomunicaciones e infraestructuras
- Infraestructura digital: IXP (Internet Exchange Point o Punto de intercambio de internet, su función es conectar dos redes entre sí), proveedores de servicios DNS y Registros de nombres de dominio de primer nivel.
- Servicios digitales: tiendas online, motores de búsqueda y las nubes de almacenamiento de datos.
Quedan exentas:
- Las empresas que suministren redes públicas de comunicaciones.
- Las empresas que presten servicios de comunicaciones electrónicas disponibles al público.
- Los prestadores de servicios de confianza.
- Los sectores regulados con leyes específicas siempre que sus requisitos de seguridad sean equivalentes a los que establece la presente directiva.
- Las microempresas y pymes digitales; quedando fuera del alcance los proveedores de servicios digitales que empleen menos de 50 trabajadores y cuyo volumen de negocios anual (o balance general anual) no supere los 10 millones de euros. Pero, todavía queda por aclarar qué volumen de información y datos deben tener estas empresas (aunque sean pequeñas) para que sean consideradas de riesgo o no.
En resumen,
las principales obligaciones que establece el nuevo Real Decreto 43/2021 son las siguientes:
· Definir una política de seguridad de redes y sistemas adaptada a sus características.
· Preparar y aprobar la Declaración de Aplicabilidad para ser entregada a la autoridad competente antes de Julio de 2021.
· Establecer una política de gestión de riesgos respecto a proveedores externos.
· Establecer una política y un protocolo de notificaciones de incidentes a la autoridad competente.
· Nombrar un CISO antes de Abril del 2021 y establecer un nuevo estatuto jurídico para esta figura que recoja las responsabilidades y funciones.