El Reial Decret 43/2021 que es va publicar el 28 de Gener exigeix dur a terme
accions de caràcter immediat
en l'àmbit de la ciberseguretat a dos grans grups d'organitzacions:
- les dels operadors de serveis essencials i
- les de prestadors de serveis digitals.
Aquest decret suposa la necessitat d'adaptar i preparar aquestes organitzacions a el nou marc de la directiva NIS; en cas contrari es podrien derivar responsabilitats.
La norma és una eina per impulsar les iniciatives destinades a aconseguir un adequat nivell de seguretat a les empreses afectades, ja que passen a estar obligades a tenir un CISO, i estableix una sèrie d'obligacions.
Què implica el compliment d'aquest marc normatiu?
Aquesta norma jurídica desenvolupa el Reial Decret Llei 12/2018, de seguretat de les xarxes i sistemes d'informació, i la directiva europea NIS (Security of Network and Information Systems), norma que parteix d'un enfocament global de la seguretat de les xarxes i sistemes d'informació a la Unió Europea.
Les principals obligacions per a les entitats que conformen els dos grans grups Infraestructures crítiques i Operadors de Serveis digitals, derivades de l'efectiva aplicació de l'RD-Llei 12/2018 i d'aquest RD 43/2021 que el desenvolupa, són:
- Establir un
estatut jurídic per al càrrec de CISO,
Que reculli les responsabilitats i funcions, tant tècniques com organitzatives i jurídiques dins de l'organització.
- Designar i nomenar un CISO, Que compleixi amb aquestes característiques, en el termini màxim de tres mesos a comptar de la publicació de l'RD 43/2021 el 28 de gener (data límit abril de 2021 inclusivament) i dotar aquesta figura dels mitjans necessaris
- Establir una Política de seguretat de xarxes i sistemes que englobi el model de governança en matèria de ciberseguretat, el sector d'activitat afectat i les especificacions concretes a seguir per l'empresa. Permetent amb això enllaçar amb el
Pla Director de Seguretat
implantat a l'empresa, en el qual es defineixin el conjunt de projectes de seguretat de la informació que permetin delimitar i controlar els riscos relatius a l'àmbit de la ciberseguretat.
- En conseqüència, i en funció del que disposa la Política de seguretat de xarxes i sistemes, elaborar una
Declaració d'Aplicabilitat que haurà de ser lliurada en un termini màxim de 6 mesos (fins juliol 2021 inclusivament) a l'autoritat competent que correspongui segons el sector d'activitat.
- Valorar la certificació en un marc de referència tècnic com el
Esquema Nacional de Seguretat (ENS)
o altres esquemes alternatius equivalents, com a element substitutiu de l'acció supervisora i que permeti acreditar el compliment de les obligacions tècniques i organitzatives en matèria de ciberseguretat.
- Adaptar les polítiques i procediments organitzatius i / o corporatius ja implantats especialment pel que fa a l'àmbit de ciberseguretat i d'acord a el marc tècnic de referència pel qual s'hagi optat.
- Coordinar les activitats de ciberseguretat amb les establertes en matèria de protecció de dades, d'acord a les pautes de convergència a què fa esment el RD 43/2021.
- Aprovar una política de gestió de riscos respecte a tercers proveïdors externs, que puguin considerar crítics en aquest àmbit.
- Adaptar els convenis, acords i contractes a les directrius d'aquest marc normatiu, pel que fa a productes i serveis de tercers subministradors, en funció de la classificació pel que fa a risc i criticitat que estableixi la política anterior.
Quins àmbits es troben dins de la norma?
D'acord amb l'abast de l'RD 43/2021 (juntament amb el RD-Llei 12/2018 que desenvolupa) serà d'aplicació a dos grans grups en funció de el sector i àrea estratègica:
Infraestructures crítiques:
- Energia:
- Electricitat: Empreses elèctriques, gestors de la xarxa de distribució i gestors de la xarxa de transport.
- Cru: Operadors d'oleoductes i de producció, refinat, tractament, emmagatzematge i transport.
- Gas: Subministradores, gestors de xarxa de distribució, gestors de xarxa de transport, emmagatzematge, gestors de xarxa GNL, companyies de gas natural i gestors de les instal·lacions de refinat i tractament de gas natural.
- Nuclear: Centrals elèctriques d'emmagatzematge, manipulació, fissió, distribució i transport de residus, mercaderies perilloses, materials nuclears, radiològics, etc.
- Hidràulica: Subministrament i distribució d'aigua potable.
- Química: Producció, emmagatzematge i transport de mercaderies perilloses, materials químics, etc.
- Recerca: Laboratoris que per la seva idiosincràsia disposin o produeixin materials, substàncies o elements crítics o perillosos.
- Sanitària: Prestadors d'assistència sanitària, especialment hospitals i clíniques públiques i privades.
- Alimentació: Gestió de la producció, emmagatzematge i distribució.
- Espai exterior: Instal·lacions en espai marítim, aeri i ultraterrestre.
- Transport:
- Aaeri: Companyies aèries, gestores d'aeroports (pel que fa a la gestió de pistes i no serveis accessoris com a zones comercials) i gestió de trànsit aeri.
- Ferrocarril:
Administradors d'infraestructures i empreses ferroviàries.
- Marítim i fluvial: Empreses de transport marítim, fluvial i de cabotatge, tant de mercaderies com de passatgers, gestors de ports, operadors de serveis de trànsit de vaixells i fluvial, i per carretera).
- Financera i tributària: Entitats bancàries i de crèdit i mercats de valors
Operadors de serveis digitals
- Operadors de telecomunicacions i infraestructures
- Infraestructura digital: IXP (Internet Exchange Point o Punt d'intercanvi d'internet, la seva funció és connectar dues xarxes entre si), proveïdors de serveis DNS i registres de noms de domini de primer nivell.
- Serveis digitals: botigues online, motors de cerca i els núvols d'emmagatzematge de dades.
Queden exemptes:
- Les empreses que subministren xarxes públiques de comunicacions.
- Les empreses que prestin serveis de comunicacions electròniques disponibles a el públic.
- Els prestadors de serveis de confiança.
- Els sectors regulats amb lleis específiques sempre que els seus requisits de seguretat siguin equivalents als que estableix aquesta directiva.
- Les microempreses i pimes digitals; quedant fora de l'abast dels proveïdors de serveis digitals que utilitzin menys de 50 treballadors i el volum de negocis anual (o balanç general anual) no superi els 10 milions d'euros. Però, encara queda per aclarir quin volum d'informació i dades han de tenir aquestes empreses (encara que siguin petites) perquè siguin considerades de risc o no.
En resum,
les principals obligacions que estableix el nou Reial Decret 43/2021 són les següents:
·
Definir una política de seguretat de xarxes i sistemes adaptada a les seves característiques.
·
Preparar i aprovar la Declaració de Aplicabilitat per ser lliurada a l'autoritat competent
abans de juliol de 2021.
· Establir una política de gestió de riscos respecte a proveïdors externs.
· Establir una política i un protocol de notificacions d'incidents a l'autoritat competent.
· Anomenar un CISO
abans d'abril del 2021
i establir un nou estatut jurídic per a aquesta figura que reculli les responsabilitats i funcions.