RD 43/21 de Enero 2021 de seguridad de las redes y sistemas de información

Seguimos con normas de ciberseguridad. Ya sé que para la mayoría de vosotros estos temas resultan algo pesados, y me incluyo a mí mismo, y por ello haré un especial hincapié en que este artículo sea de fácil lectura, centrándome sólo en los aspectos más relevantes. 

Se trata de una norma que define cómo gestionar la ciberseguridad en empresas que operen servicios críticos o esenciales.

¿A qué empresas se refiere?

Aquí cito textualmente lo que dice la norma:

De conformidad con el artículo 2 del Real Decreto-ley 12/2018, de 7 de septiembre, este real decreto se aplicará a la prestación de:

• a) Los servicios esenciales dependientes de las redes y sistemas de información comprendidos en los sectores estratégicos definidos en el anexo de la Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas.

• b) Los servicios digitales que sean mercados en línea, motores de búsqueda en línea y servicios de computación en nube.

Estarán sometidos a este real decreto:

• a) Los operadores de servicios esenciales establecidos en España. Se entenderá que un operador de servicios esenciales está establecido en España cuando su residencia o domicilio social se encuentren en territorio español, siempre que estos coincidan con el lugar en que esté efectivamente centralizada la gestión administrativa y la dirección de sus negocios o actividades.

Así mismo, este real decreto será de aplicación a los servicios esenciales que los operadores residentes o domiciliados en otro Estado ofrezcan a través de un establecimiento permanente situado en España.

• b) Los proveedores de servicios digitales que tengan su sede social en España y que constituya su establecimiento principal en la Unión Europea, así como los que, no estando establecidos en la Unión Europea, designen en España a su representante en la Unión para el cumplimiento de la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión.

y no aplica a:

• a) Los operadores de redes y servicios de comunicaciones electrónicas y los prestadores de servicios electrónicos de confianza que no sean designados como operadores críticos en virtud de la Ley 8/2011, de 28 de abril.

• b) Los proveedores de servicios digitales cuando se trate de microempresas o pequeñas empresas, de acuerdo con las definiciones recogidas en la Recomendación 2003/361/CE de la Comisión, de 6 de mayo de 2003, sobre la definición de microempresas, pequeñas y medianas empresas.

Y qué tienen que aplicar estas empresas

Una vez identificadas las empresas que se ven afectadas, esta norma dice que deberán cumplir el Esquema Nacional de Seguridad, nivel alto.

Qué implicaciones tiene la aplicación de esta norma

Para empezar, las políticas de seguridad que se deben establecer deberán contemplar las siguientes acciones:

• Realizar el correspondiente análisis de gestión de riesgos
• Gestionar los riesgos originados por terceros o proveedores
• Definir el catálogo de medidas de seguridad, organizativas, tecnológicas y físicas
• Gestionar el personal asignado y su profesionalidad
• Adquisición de los productos o servicios de seguridad elegidos
• Detectar, gestionar y notificar incidentes 
• Definir el plan de recuperación y aseguramiento de la continuidad de operación
• Establecer un sistema de gestión de mejora continua (tipo PDCA)
• Tener en cuenta la interconexión de sistemas
• Registrar la actividad de los usuarios

Además, se existen una serie de obligaciones complementarias:

• La de definir el documento "Declaración de Aplicabilidad" por el que el responsable de seguridad define los riesgos y establece las medidas a implementar, firmado por el Responsable de Seguridad (*) y aprobado por la Dirección.
• Y la de notificar los incidentes debidamente clasificados, identificando su peligrosidad, el valor de su impacto y el plan de acción del CSIRT (equipo de intervención inmediata a incidentes de seguridad), si procede, para abordar la resolución técnica del incidente utilizando en lo posible la Plataforma Nacional de Notificación y Seguimiento de Ciberincidentes (consultar esta web  para más información).

(*) La norma exige la identificación de la figura del Responsable de Seguridad (que se corresponde con los perfiles de "Responsable de Seguridad y Enlace" y "Responsable de Seguridad" del ENS) que debe tener la preparación, disponer de los recursos necesarios, tener una jerarquía en el organigrama que le permita una comunicación directa con la Dirección e independencia del área técnica, para que pueda desarrollar sus funciones con garantía. Además será el enlace con el organismo supervisor asignado y con el CSIRT de referencia.

Y cuáles son los organismos supervisores designados

Esta norma identifica una seria de organismos supervisores que ejercen esta labor dependiendo del sector económico en el que se encuadre la empresa:

• Transporte: Ministerio de Trasportes, Sostenibilidad y Agenda Urbana
• Energía: Ministerio de Transición Ecológica y el Reto Demográfico
• TIC: Ministerio de Asuntos Económicos y Transformación Digital
• Seguros y fondos de pensiones: Ministerio de Asuntos Económicos y Transformación Digital
• Entidades de crédito: Banco de España
• Servicios de inversión y de gestión de inversión colectiva: Comisión Nacional del Mercado de Valores
• Espacio: Ministerio de Defensa
• Químico: Ministerio del Interior
• Instalaciones de investigación: Ministerio de Ciencia e Innovación
• Salud: Ministerio de Sanidad
• Agua: Ministerio de de Transición Ecológica y el Reto Demográfico
• Alimentación: Ministerio de Agricultura, Pesca y Alimentación; Ministerio de Sanidad; Ministerio de Industria, Comercio y Turismo; Ministerio de Consumo.
• Nuclear: Ministerio de Transición Ecológica y el Reto Demográfico; Consejo de Seguridad Nuclear.

Consideraciones sobre la aplicación del ENS

El Esquema Nacional de Seguridad (ahora en revisión) dicta la forma de protegerse de las amenazas de ciberseguridad, que es de obligado cumplimiento para las entidades públicas relacionadas con la Administración Electrónica. Dispone de tres niveles de criticidad: baja (no certificable), media y alta en función de la criticidad de los sistemas de la entidad (para más información consultar esta web). Y es este nivel alto el que según rel RD 43/21 se aplica también a las empresas calificadas como operadores críticos o esenciales.

Este vídeo de Isaca España del 9/2/21  te puede ilustrar sobre las implicaciones de este RD.

Cómo implementar y controlar el cumplimiento de esta norma

Llevando el ascua a nuestra sardina, en Cibernos disponemos de la herramienta CiberCumplimiento que facilita la medida de la eficacia de los controles de mitigación de riesgos, para identificar los riesgos que superen los valores del apetito de riesgo deseado por cada cliente entidad y así poder tomar las medidas de remediación correspondientes.

¿Tienes alguna duda? ¿Quieres automatizar el control de cumplimiento? Aquí estamos para ayudarte.