El Reial Decret 43/2021 que es va publicar el 28 de Gener exigeix dur a terme accions de caràcter immediat en l'àmbit de la ciberseguretat a dos grans grups d'organitzacions:

- les dels operadors de serveis essencials i

- les de prestadors de serveis digitals.

Aquest decret suposa la necessitat d'adaptar i preparar aquestes organitzacions a el nou marc de la directiva NIS; en cas contrari es podrien derivar responsabilitats.

La norma és una eina per impulsar les iniciatives destinades a aconseguir un adequat nivell de seguretat a les empreses afectades, ja que passen a estar obligades a tenir un CISO, i estableix una sèrie d'obligacions.

Què implica el compliment d'aquest marc normatiu?

Aquesta norma jurídica desenvolupa el Reial Decret Llei 12/2018, de seguretat de les xarxes i sistemes d'informació, i la directiva europea NIS (Security of Network and Information Systems), norma que parteix d'un enfocament global de la seguretat de les xarxes i sistemes d'informació a la Unió Europea.

Les principals obligacions per a les entitats que conformen els dos grans grups Infraestructures crítiques i Operadors de Serveis digitals, derivades de l'efectiva aplicació de l'RD-Llei 12/2018 i d'aquest RD 43/2021 que el desenvolupa, són:

• Establir un estatut jurídic per al càrrec de CISO, Que reculli les responsabilitats i funcions, tant tècniques com organitzatives i jurídiques dins de l'organització.
• Designar i nomenar un CISO, Que compleixi amb aquestes característiques, en el termini màxim de tres mesos a comptar de la publicació de l'RD 43/2021 el 28 de gener (data límit abril de 2021 inclusivament) i dotar aquesta figura dels mitjans necessaris
• Establir una Política de seguretat de xarxes i sistemes que englobi el model de governança en matèria de ciberseguretat, el sector d'activitat afectat i les especificacions concretes a seguir per l'empresa. Permetent amb això enllaçar amb el Pla Director de Seguretat  implantat a l'empresa, en el qual es defineixin el conjunt de projectes de seguretat de la informació que permetin delimitar i controlar els riscos relatius a l'àmbit de la ciberseguretat.
• En conseqüència, i en funció del que disposa la Política de seguretat de xarxes i sistemes, elaborar una Declaració d'Aplicabilitat  que haurà de ser lliurada en un termini màxim de 6 mesos (fins juliol 2021 inclusivament) a l'autoritat competent que correspongui segons el sector d'activitat. 
• Valorar la certificació en un marc de referència tècnic com el Esquema Nacional de Seguretat (ENS)  o altres esquemes alternatius equivalents, com a element substitutiu de l'acció supervisora i que permeti acreditar el compliment de les obligacions tècniques i organitzatives en matèria de ciberseguretat.
• Adaptar les polítiques i procediments organitzatius i / o corporatius ja implantats especialment pel que fa a l'àmbit de ciberseguretat i d'acord a el marc tècnic de referència pel qual s'hagi optat.
• Coordinar les activitats de ciberseguretat amb les establertes en matèria de protecció de dades, d'acord a les pautes de convergència a què fa esment el RD 43/2021.
• Aprovar una política de gestió de riscos respecte a tercers proveïdors externs, que puguin considerar crítics en aquest àmbit.
• Adaptar els convenis, acords i contractes a les directrius d'aquest marc normatiu, pel que fa a productes i serveis de tercers subministradors, en funció de la classificació pel que fa a risc i criticitat que estableixi la política anterior.

Quins àmbits es troben dins de la norma?

D'acord amb l'abast de l'RD 43/2021 (juntament amb el RD-Llei 12/2018 que desenvolupa) serà d'aplicació a dos grans grups en funció de el sector i àrea estratègica:

Infraestructures crítiques:

• Energia:
• Electricitat: Empreses elèctriques, gestors de la xarxa de distribució i gestors de la xarxa de transport.
• Cru: Operadors d'oleoductes i de producció, refinat, tractament, emmagatzematge i transport.
• Gas: Subministradores, gestors de xarxa de distribució, gestors de xarxa de transport, emmagatzematge, gestors de xarxa GNL, companyies de gas natural i gestors de les instal·lacions de refinat i tractament de gas natural.
• Nuclear: Centrals elèctriques d'emmagatzematge, manipulació, fissió, distribució i transport de residus, mercaderies perilloses, materials nuclears, radiològics, etc.
• Hidràulica: Subministrament i distribució d'aigua potable.
• Química: Producció, emmagatzematge i transport de mercaderies perilloses, materials químics, etc.
• Recerca: Laboratoris que per la seva idiosincràsia disposin o produeixin materials, substàncies o elements crítics o perillosos.
• Sanitària: Prestadors d'assistència sanitària, especialment hospitals i clíniques públiques i privades.
• Alimentació: Gestió de la producció, emmagatzematge i distribució.
• Espai exterior: Instal·lacions en espai marítim, aeri i ultraterrestre.
• Transport:
• Aaeri: Companyies aèries, gestores d'aeroports (pel que fa a la gestió de pistes i no serveis accessoris com a zones comercials) i gestió de trànsit aeri.
• Ferrocarril: Administradors d'infraestructures i empreses ferroviàries.
• Marítim i fluvial: Empreses de transport marítim, fluvial i de cabotatge, tant de mercaderies com de passatgers, gestors de ports, operadors de serveis de trànsit de vaixells i fluvial, i per carretera).
• Financera i tributària: Entitats bancàries i de crèdit i mercats de valors

Operadors de serveis digitals

• Operadors de telecomunicacions i infraestructures
• Infraestructura digital: IXP (Internet Exchange Point o Punt d'intercanvi d'internet, la seva funció és connectar dues xarxes entre si), proveïdors de serveis DNS i registres de noms de domini de primer nivell.
• Serveis digitals: botigues online, motors de cerca i els núvols d'emmagatzematge de dades.

Queden exemptes:

• Les empreses que subministren xarxes públiques de comunicacions.
• Les empreses que prestin serveis de comunicacions electròniques disponibles a el públic.
• Els prestadors de serveis de confiança.
• Els sectors regulats amb lleis específiques sempre que els seus requisits de seguretat siguin equivalents als que estableix aquesta directiva.
• Les microempreses i pimes digitals; quedant fora de l'abast dels proveïdors de serveis digitals que utilitzin menys de 50 treballadors i el volum de negocis anual (o balanç general anual) no superi els 10 milions d'euros. Però, encara queda per aclarir quin volum d'informació i dades han de tenir aquestes empreses (encara que siguin petites) perquè siguin considerades de risc o no.

En resum, les principals obligacions que estableix el nou Reial Decret 43/2021 són les següents:

· Definir una política de seguretat de xarxes i sistemes adaptada a les seves característiques.

· Preparar i aprovar la Declaració de Aplicabilitat per ser lliurada a l'autoritat competent abans de juliol de 2021.

· Establir una política de gestió de riscos respecte a proveïdors externs.

· Establir una política i un protocol de notificacions d'incidents a l'autoritat competent.

· Anomenar un CISO abans d'abril del 2021 i establir un nou estatut jurídic per a aquesta figura que reculli les responsabilitats i funcions.