RD 43/2021
La Ley impone la figura directiva del Responsable de Seguridad de la Información
El pasado 28 de enero se publicó el Real Decreto 43/2021, el cual desarrolla numerosos aspectos del Real Decreto-ley 12/2018 de seguridad de las redes y sistemas de información. Se trata de la principal norma referida a cuestiones de ciberseguridad, asegurando la alineación del derecho español con el marco armonizado europeo conforme a la Directiva 2016/1148 (más conocida como Directiva NIS, acrónimo correspondiente a redes y sistemas de información en inglés), y supone un antes y un después en el marco regulador de la ciberseguridad en España (y esperemos que pronto en el resto de países hispanohablantes). Esta norma ha de impulsar las iniciativas destinadas a alcanzar un adecuado nivel de ciberseguridad dentro de las empresas afectadas, al estar obligadas a tener un CISO que va ser responsable de tomar decisiones que pueden generar efectos jurídicos vinculantes frente a terceros y frente a las autoridades competentes.
Así, el real decreto se aplica a los servicios esenciales (los necesarios para el mantenimiento de las funciones sociales básicas, la salud, la seguridad, el bienestar social y económico de los ciudadanos, o el eficaz funcionamiento de las Instituciones del Estado y las Administraciones Públicas), que dependan de redes y sistemas de información para desarrollar su actividad en sectores estratégicos, según se definen en la Ley 8/2011.
Se definen como sectores estratégicos la Administración, el espacio, la industria nuclear, la industria química, las instalaciones de investigación, el agua, la energía, la salud, las tecnologías de la información y las comunicaciones, el transporte, la alimentación y el sistema financiero y tributario.
La norma también se aplica a los servicios digitales que sean mercados en línea, motores de búsqueda y servicios de computación en nube.
También están sometidos al real decreto los operadores de servicios esenciales establecidos en España (con domicilio o residencia fijado en territorio español) y los que estén domiciliados fuera, pero ofrezcan a través de un establecimiento permanente en España.
En la situación actual, en la que el teletrabajo ha venido para quedarse, es necesario que la inversión en ciberseguridad deje de ser considerada como un gasto superfluo, y ayude a paliar los numerosos problemas que sufren constantemente todas las organizaciones.
Este nuevo Real Decreto pretende concretar algunas de las principales obligaciones y procedimientos a utilizar a fin de asegurar una óptima gestión de riesgos de seguridad en redes y sistemas de información en sectores críticos, así como para asegurar una adecuada coordinación entre los distintos actores implicados en este tipo de situaciones de riesgo.
Para ello, cabe destacar el establecimiento de una serie de obligaciones organizativas y de actuación para los operadores sujetos a este régimen, destacando entre otras las siguientes:
- Definición de una medidas técnicas y organizativas para la adecuada gestión de los riesgos de ciberseguridad: Dichas medidas, que en términos del Real Decreto deberán relacionarse en la denominada Declaración de Aplicabilidad de medidas de seguridad, incluirán unas políticas de seguridad integral, gestión de riesgos, prevención, respuesta y recuperación, líneas de defensa, reevaluación periódica y segregación de tareas. La propia norma establece que dichas políticas deberán tratar los aspectos claves en seguridad, incluyendo -entre otros- el análisis y gestión de riesgos (incluyendo los de terceros o proveedores), inclusión del listado de medidas de seguridad, organizativas, tecnológicas y físicas, los planes de recuperación y aseguramiento de la continuidad de las operaciones, o la interconexión de sistemas. Se considera de especial importancia el nombramiento del CIS, la política respecto a terceros proveedores, así como cumplimentar la obligación de entregar a las Autoridades competentes la Declaración de Aplicabilidad.
- Designación de un responsable de seguridad: éste podrá ser una persona, unidad u órgano colegiado que dentro de la compañía en cuestión actuará como responsable de la seguridad de la información, además de punto de contacto y coordinación con la autoridad competente. Los operadores sujetos a este nuevo Real Decreto deberán notificar a dicha autoridad la identidad de su responsable de seguridad dentro de los tres meses siguientes a la entrada en vigor del Real Decreto 43/2021. Asimismo, deberán notificar los ceses y nuevos nombramientos de su responsable de seguridad dentro del mes siguiente al correspondiente cese o nombramiento. Esta figura pretende ser la referencia dentro del operador en cuestión en el ámbito de la seguridad de redes y sistemas de información. En este sentido, se establece que, entre otras funciones, el responsable de seguridad deberá:
(1) elaborar y proponer para aprobación las políticas de seguridad, así como la correspondiente Declaración de Aplicabilidad;
(2) supervisar y desarrollar la aplicación de las medidas técnicas y organizativas definidas en las citadas políticas de seguridad;
(3) remitir a la autoridad competente las notificaciones de incidentes; o
(4) supervisar la aplicación de las instrucciones y guías emanadas de la autoridad competente.
El nuevo Real Decreto desea dotar de contenido real a esta posición, estableciendo respecto a ella los siguientes requisitos:
(a) contar con personal con conocimientos especializados y experiencia en materia de ciberseguridad, desde los puntos de vista organizativo, técnico y jurídico;
(b) contar con los recursos necesarios para desarrollar sus funciones;
(c) ostentar una posición en la organización del operador que facilite el desarrollo de sus funciones; y
(d) mantener la debida independencia respecto de los responsables de redes y sistemas de información.
- Notificación y gestión de incidentes de seguridad: El Real Decreto establece una obligación general de notificación a la autoridad competente aquellos incidentes que puedan tener “efectos perturbadores significativos” en los servicios que preste el operador en cuestión o que, atendiendo a su nivel de peligrosidad, puedan afectar a las redes y sistemas de información empleados para la prestación de los servicios esenciales, incluso si no han tenido un efecto relevante en las actividades del operador. Dicho deber de notificación se entenderá sin perjuicio de otras obligaciones legales parecidas como, por ejemplo, la prevista en el artículo 33 del Reglamento General de Protección de Datos, en el sentido de notificar a la autoridad relevante una brecha de seguridad que haya puesto en compromiso información de carácter personal. Para realizar dichas notificaciones se prevé la creación de una Plataforma Nacional de Notificación y Seguimiento de Ciberincidentes, gestionada por el Centro Criptográfico Nacional en colaboración con el Instituto Nacional de Ciberseguridad y el Mando Conjunto de Ciberdefensa. En este contexto, ante un incidente de seguridad de redes o sistemas de información, los operadores de servicios esenciales deberán realizar las siguientes notificaciones a la autoridad competente:
(a) Una primera notificación, a realizarse tan pronto se haya constatado la concurrencia de las circunstancias previstas en el Real Decreto para proceder a dicha notificación.
(b) Las notificaciones intermedias que sean necesarias para actualizar o completar la información incluida en la primera notificación e informar sobre la evolución del incidente.
(c) Una notificación final, a realizarse tras la resolución del incidente en la que se informará de forma detallada sobre la evolución del mismo, la valoración de las posibilidades de que tal incidente pueda repetirse y las medidas correctoras que el operador haya aplicado o tenga previsto aplicar para evitarlo en el futuro.
A fin de asegurar una adecuada gestión de este tipo de notificaciones, el Anexo del Real Decreto 43/2021 incluye los criterios a utilizar en tales casos, identificando los niveles de peligrosidad e impacto que apliquen al caso en cuestión. Dichos criterios se basan en la Guía nacional de notificación y gestión de ciberincidentes elaborada por el Consejo Nacional de Ciberseguridad la cual, a su vez, se basa en los criterios definidos para la clasificación de incidentes de la Agencia de la Unión Europea para la Ciberseguridad (ENISA).
El anexo del Real Decreto clasifica los ciberincidentes por su naturaleza: de contenido abusivo (spam, delitos de odio, pornografía infantil o contenido sexual o violento), contendido dañino (malware), obtención de información (escaneo de redes, grabaciones), intentos de intrusión (ataques, compromiso de cuentas), disponibilidad (sabotaje, interrupciones o mala configuración), fraude (phishing, suplantación, derechos de autor), y vulnerabilidad (criptografía o revelación de información).
Divide el nivel de peligrosidad de los incidentes en crítico (ataques dirigidos a organizaciones concretas), muy alto (distribución de malware, robo o sabotaje), alto (pornografía infantil, contenido sexual o violento, phishing, o pérdida de datos, entre otros), medio (discurso de odio, derechos de autor, entre otros) y bajo (spam o escaneo de redes)
*La Pymes no están afectadas por el RD. Pero se verán obligadas a aplicar la Ley si son terceros y proveedores de las empresas afectadas.
Se está batallando en Europa por su inclusión dentro de la directiva NIS, en el caso de los proveedores de Software y Hardware.