Real decreto 43/2021: El desarrollo del marco legal de Ciberseguridad en España

2021-04-08T17:55:00
España

El pasado 28 de enero se publicó el Real Decreto 43/2021, el cual desarrolla numerosos aspectos del Real Decreto-ley 12/2018 de seguridad de las redes y sistemas de información. Se trata de la principal norma referida a cuestiones de ciberseguridad, asegurando la alineación del derecho español con el marco armonizado europeo conforme a la Directiva 2016/1148 (más conocida como Directiva NIS, acrónimo correspondiente a redes y sistemas de información en inglés).

Real decreto 43/2021: El desarrollo del marco legal de Ciberseguridad en España
8 de abril de 2021

El pasado 28 de enero se publicó el Real Decreto 43/2021, el cual desarrolla numerosos aspectos del Real Decreto-ley 12/2018 de seguridad de las redes y sistemas de información. Se trata de la principal norma referida a cuestiones de ciberseguridad, asegurando la alineación del derecho español con el marco armonizado europeo conforme a la Directiva 2016/1148 (más conocida como Directiva NIS, acrónimo correspondiente a redes y sistemas de información en inglés).

Este reciente desarrollo reglamentario enriquece el marco normativo específicamente desarrollado para el ámbito de ciberseguridad para aquellos sectores y operadores de infraestructuras críticas. En efecto, esta nueva norma (así como el Real Decreto-ley que desarrolla) establece obligaciones para dos grandes grupos de compañías que estén establecidos en España:

(i) Por un lado, los prestadores de servicios esenciales vinculados a las redes y sistemas de información comprendidos en sectores estratégicos, según se definen en la Ley 8/2011. De acuerdo con dicha norma, se incluyen dentro de esta categoría los siguientes sectores: administraciones públicas; espacio; industria nuclear; industria química; instalaciones de investigación; agua; energía; salud; tecnologías de la información y comunicaciones; transporte; alimentación; así como el sistema financiero y tributario.

(ii) Por otro lado, los operadores de servicios digitales que incluyan mercados en línea, motores de búsqueda y servicios informáticos en nube.

Este nuevo Real Decreto pretende concretar algunas de las principales obligaciones y procedimientos a utilizar a fin de asegurar una óptima gestión de riesgos de seguridad en redes y sistemas de información en sectores críticos así como para asegurara una adecuada coordinación entre los distintos actores implicados en este tipo de situaciones de riesgo.

Para ello, cabe destacar el establecimiento de una serie de obligaciones organizativas y de actuación para los operadores sujetos a este régimen, destacando entre otras las siguientes:

  • Definición de una medidas técnicas y organizativas para la adecuada gestión de los riesgos de ciberseguridad: Dichas medidas, que en términos del Real Decreto deberán relacionarse en la denominada Declaración de Aplicabilidad de medidas de seguridad, incluirán unas políticas de seguridad integral, gestión de riesgos, prevención, respuesta y recuperación, líneas de defensa, reevaluación periódica y segregación de tareas. La propia norma establece que dichas políticas deberán tratar los aspectos claves en seguridad, incluyendo -entre otros- el análisis y gestión de riesgos (incluyendo los de terceros o proveedores), inclusión del listado de medidas de seguridad, organizativas, tecnológicas y físicas, los planes de recuperación y aseguramiento de la continuidad de las operaciones, o la interconexión de sistemas.
  • Designación de un responsable de seguridad: éste podrá ser una persona, unidad u órgano colegiado que dentro de la compañía en cuestión actuará como responsable de la seguridad de la información, además de punto de contacto y coordinación con la autoridad competente. Los operadores sujetos a este nuevo Real Decreto deberán notificar a dicha autoridad la identidad de su responsable de seguridad dentro de los tres meses siguientes a la entrada en vigor del Real Decreto 43/2021. Asimismo, deberán notificar los ceses y nuevos nombramientos de su responsable de seguridad dentro del mes siguiente al correspondiente cese o nombramiento. Esta figura pretende ser la referencia dentro del operador en cuestión en el ámbito de la seguridad de redes y sistemas de información. En este sentido, se establece que, entre otras funciones, el responsable de seguridad deberá:

( i) elaborar y proponer para aprobación las políticas de seguridad, así como la correspondiente Declaración de Aplicabilidad;

(ii) supervisar y desarrollar la aplicación de las medidas técnicas y organizativas definidas en las citadas políticas de seguridad;

(iii) remitir a la autoridad competente las notificaciones de incidentes; o

(iv) supervisar la aplicación de las instrucciones y guías emanadas de la autoridad competente.

El nuevo Real Decreto desea dotar de contenido real a esta posición, estableciendo respecto a ella los siguientes requisitos:

(a) contar con personal con conocimientos especializados y experiencia en materia de ciberseguridad, desde los puntos de vista organizativo, técnico y jurídico;

(b) contar con los recursos necesarios para desarrollar sus funciones;

(c) ostentar una posición en la organización del operador que facilite el desarrollo de sus funciones; y

(d) mantener la debida independencia respecto de los responsables de redes y sistemas de información.

  • Notificación y gestión de incidentes de seguridad: El Real Decreto establece una obligación general de notificación a la autoridad competente aquellos incidentes que puedan tener “efectos perturbadores significativos” en los servicios que preste el operador en cuestión o que, atendiendo a su nivel de peligrosidad, puedan afectar a las redes y sistemas de información empleados para la prestación de los servicios esenciales, incluso si no han tenido un efecto relevante en las actividades del operador. Dicho deber de notificación se entenderá sin perjuicio de otras obligaciones legales parecidas como, por ejemplo, la prevista en el artículo 33 del Reglamento General de Protección de Datos, en el sentido de notificar a la autoridad relevante una brecha de seguridad que haya puesto en compromiso información de carácter personal. Para realizar dichas notificaciones se prevé la creación de una Plataforma Nacional de Notificación y Seguimiento de Ciberincidentes, gestionada por el Centro Criptográfico Nacional en colaboración con el Instituto Nacional de Ciberseguridad y el Mando Conjunto de Ciberdefensa. En este contexto, ante un incidente de seguridad de redes o sistemas de información, los operadores de servicios esenciales deberán realizar las siguientes notificaciones a la autoridad competente:

(a) Una primera notificación, a realizarse tan pronto se haya constatado la concurrencia de las circunstancias previstas en el Real Decreto para proceder a dicha notificación.

(b) Las notificaciones intermedias que sean necesarias para actualizar o completar la información incluida en la primera notificación e informar sobre la evolución del incidente.

(c) Una notificación final, a realizarse tras la resolución del incidente en la que se informará de forma detallada sobre la evolución del mismo, la valoración de las posibilidades de que tal incidente pueda repetirse y las medidas correctoras que el operador haya aplicado o tenga previsto aplicar para evitarlo en el futuro.

A fin de asegurar una adecuada gestión de este tipo de notificaciones, el Anexo del Real Decreto 43/2021 incluye los criterios a utilizar en tales casos, identificando los niveles de peligrosidad e impacto que apliquen al caso en cuestión. Dichos criterios se basan en la Guía nacional de notificación y gestión de ciberincidentes elaborada por el Consejo Nacional de Ciberseguridad la cual, a su vez, se basa en los criterios definidos para la clasificación de incidentes de la Agencia de la Unión Europea para la Ciberseguridad (ENISA).

Autor: Albert Agustinoy

8 de abril de 2021