El Real Decreto 43/2021, publicado el pasado 28 de enero, supone el desarrollo efectivo del RD-Ley 12/2018 de seguridad de las redes y sistemas de información de transposición de la Directiva europea 2016/1148 de ciberseguridad (Directiva NIS), en armonización de la normativa nacional vigente de aplicación con el Derecho comunitario.

El objetivo perseguido con este nuevo Real Decreto sigue siendo el de aumentar la protección frente a ataques y vulneraciones en las redes y sistemas de información, bajo el marco normativo de la Unión Europea.

¿Qué ámbitos se encuentran dentro de la norma?

Conforme al alcance del RD 43/2021 (junto con el RD-Ley 12/2018 que desarrolla) será de aplicación a dos grandes grupos en función del sector y área estratégica:

Infraestructuras críticas:

• Energía:
  • Electricidad: empresas eléctricas, gestores de la red de distribución y gestores de la red de transporte.
  • Crudo: operadores de oleoductos y de producción, refinado, tratamiento, almacenamiento y transporte.
  • Gas: suministradoras, gestores de red de distribución, gestores de red de transporte, almacenamiento, gestores de red GNL, compañías de gas natural y gestores de las instalaciones de refinado y tratamiento de gas natural.
  • Nuclear: centrales eléctricas de almacenamiento, manipulación, fisión, distribución y transporte de residuos, mercancías peligrosas, materiales nucleares, radiológicos, etc.
• Hidráulica: suministro y distribución de agua potable.
• Química: producción, almacenamiento y transporte de mercancías peligrosas, materiales químicos, etc.
• Investigación: laboratorios que por su idiosincrasia dispongan o produzcan materiales, sustancias o elementos críticos o peligrosos
• Sanitaria: prestadores de asistencia sanitaria, es especial hospitales y clínicas públicas y privadas.
• Alimentación: gestión de la producción, almacenamiento y distribución.
• Espacio exterior: Instalaciones en espacio marítimo, aéreo y ultraterrestre.
• Transporte:
  • Aéreo: compañías aéreas, gestoras de aeropuertos (en lo relativo a la gestión de pistas y no servicios accesorios como zonas comerciales) y gestión de tráfico aéreo.
  • Ferrocarril: administradores de infraestructuras y empresas ferroviarias.
  • Marítimo y fluvial: empresas de transporte marítimo, fluvial y de cabotaje, tanto de mercancías como de pasajeros, gestores de puertos, operadores de servicios de tráfico de buques y fluvial, y por carretera).
• Financiera y tributaria: entidades bancarias y de crédito y mercados de valores

Operadores de servicios digitales

• Operadores de telecomunicaciones e infraestructuras
• Infraestructura digital: IXP (Internet Exchange Point o Punto de intercambio de internet, su función es conectar dos redes entre sí), proveedores de servicios DNS y Registros de nombres de dominio de primer nivel.
• Servicios digitales: tiendas online, motores de búsqueda y las nubes de almacenamiento de datos.

Quedan exentas:

• Las empresas que suministren redes públicas de comunicaciones.
• Las empresas que presten servicios de comunicaciones electrónicas disponibles al público.
• Los prestadores de servicios de confianza.
• Los sectores regulados con leyes específicas siempre que sus requisitos de seguridad sean equivalentes a los que establece la presente directiva.
• Las microempresas y pymes digitales; quedando fuera del alcance los proveedores de servicios digitales que empleen menos de 50 trabajadores y cuyo volumen de negocios anual (o balance general anual) no supere los 10 millones de euros. Pero, todavía queda por aclarar qué volumen de información y datos deben tener estas empresas (aunque sean pequeñas) para que sean consideradas de riesgo o no. Es decir, es lo mismo una pyme de ciberseguridad, que una de servicio de peluquería canina.

¿Qué implica el cumplimiento de este marco normativo?

Las principales obligaciones para las entidades que conformen los dos grandes grupos indicados, derivadas de la efectiva aplicación del RD-Ley 12/2018 y de este RD 43/2021 que lo desarrolla, son:

• Establecer un estatuto jurídico para el cargo de CISO, que recoja las responsabilidades y funciones, tanto técnicas como organizativas y jurídicas dentro de la organización.
• Designar y nombrar internamente a un CISO, que cumpla con tales características, en el plazo máximo de tres meses a contar desde la publicación del RD 43/2021 el 28 de enero (fecha límite abril de 2021 inclusive) y dotar a esta figura de los medios necesarios
• Establecer una Política de seguridad de redes y sistemas que englobe el modelo de gobernanza en materia de ciberseguridad, el sector de actividad afectado y las especificaciones concretas a seguir por la empresa. Permitiendo con ello enlazarlo con el Plan Director de Seguridad implantado en la empresa, en el cual se definan el conjunto de proyectos de seguridad de la información que permitan acotar y controlar los riesgos relativos al ámbito de la ciberseguridad.
• En consecuencia y en función de lo dispuesto en la Política de seguridad de redes y sistemas, elaborar una Declaración de Aplicabilidad que deberá ser entregada en un plazo máximo de 6 meses (hasta julio 2021 inclusive) a la autoridad competente que corresponda según el sector de actividad.
• Valorar la certificación en un marco de referencia técnico como el Esquema Nacional de Seguridad (ENS) u otros esquemas alternativos equivalentes, como elemento sustitutivo de la acción supervisora y que permita acreditar el cumplimiento de las obligaciones técnicas y organizativas en materia de ciberseguridad.
• Adaptar las políticas y procedimientos organizativos y/o corporativos ya implantados especialmente en lo que respecta al ámbito de ciberseguridad y de acuerdo al marco técnico de referencia por el cual se haya optado.
• Coordinar las actividades de ciberseguridad con las establecidas en materia de protección de datos, de acuerdo a las pautas de convergencia a las que hace mención el RD 43/2021.
• Aprobar una política de gestión de riesgos respecto a terceros proveedores externos, que puedan considerarse críticos en dicho ámbito.
• Adaptar los convenios, acuerdos y contratos a las directrices de este marco normativo, en lo que respecta a productos y servicios de terceros suministradores, en función de la clasificación en cuanto a riesgo y criticidad establecida por la política anterior.

¿Quiénes son las autoridades competentes, reguladoras y de control?

Ámbito nacional

Las autoridades competentes en materia de seguridad de las redes y sistemas de información serán:

• Respecto al sector del transporte: el Ministerio de Transportes, Movilidad y Agenda Urbana, a través de la Secretaría de Estado de Transportes, Movilidad y Agenda Urbana.
• Respecto al sector de la energía: el Ministerio para la Transición Ecológica y el Reto Demográfico, a través de la Secretaría de Estado de Energía.
• Respecto al sector de las tecnologías de la información y las telecomunicaciones: el Ministerio de Asuntos Económicos y Transformación Digital, a través de la Secretaría de Estado de Digitalización e Inteligencia Artificial y la Secretaría de Estado de Telecomunicaciones e Infraestructuras Digitales.
• Respecto al sector del sistema financiero:

1. 1. El Ministerio de Asuntos Económicos y Transformación Digital, a través de la Secretaría de Estado de Economía y Apoyo a la Empresa, en el ámbito de los seguros y fondos de pensiones.
   2. El Banco de España, para las entidades de crédito.
   3. La Comisión Nacional del Mercado de Valores, para las entidades que prestan servicios de inversión y las sociedades gestoras de instituciones de inversión colectiva.

• Respecto al sector del espacio: el Ministerio de Defensa, a través de la Secretaría de Estado de Defensa.
• Respecto al sector de la industria química: el Ministerio de Interior, a través de la Secretaría de Estado de Seguridad.
• Respecto al sector de las instalaciones de investigación: el Ministerio de Ciencia e Innovación, a través de la Secretaría General de Investigación.
• Respecto al sector de la salud: el Ministerio de Sanidad, a través de la Secretaría de Estado de Sanidad.
• Respecto al sector del agua: el Ministerio para la Transición Ecológica y el Reto Demográfico, a través de la Secretaría de Estado de Medio Ambiente.
• Respecto al sector de la alimentación:

1. 1. El Ministerio de Agricultura, Pesca y Alimentación, a través de la Secretaría General de Agricultura y Alimentación.
   2. El Ministerio de Sanidad, a través de la Secretaría de Estado de Sanidad.
   3. El Ministerio de Industria, Comercio y Turismo, a través de la Secretaría de Estado de Comercio.
   4. El Ministerio de Consumo, a través de la Agencia Española de Seguridad Alimentaria y Nutrición (AESAN).

• Respecto al sector de la industria nuclear:

1. 1. El Ministerio para la Transición Ecológica y el Reto Demográfico, a través de la Secretaría de Estado de Energía.
   2. El Consejo de Seguridad Nuclear.

Cooperación Internacional

En el caso de España, será el Consejo de Seguridad Nacional (a través del Departamento de Seguridad Nacional) el que ejerza la función de enlace con otros países, así como la coordinación de la política de ciberseguridad nacional.

Además, se han creado los Computer Security Incident Response Teams (CSIRT o Equipos de Respuesta a Incidentes de Seguridad Informática) que deberán recibir las notificaciones de los incidentes de ciberseguridad. Ellos serán los encargados de elevarlo al punto de contacto para que tome las medidas oportunas y, en su caso, lo transmita al resto de puntos de los Estados miembros.

Este Real Decreto recoge tres CSIRT de referencia en nuestro país: para el sector público el CSIRT de referencia es el CCN-CERT, del Centro Criptológico Nacional; para ciudadanos y entidades privadas será el INCIBE-CERT (operado conjuntamente por el INCIBE y el CNPIC en la gestión de incidentes que afecten a los operadores críticos), y, por último, el ESPDEF-CERT, del Mando Conjunto de Ciberdefensa, que cooperará con los otros dos CSIRT cuando lo requieran o cuando se produzca una incidencia en la defensa nacional.

En los casos de “especial gravedad” que necesiten mayor coordinación que el resto, el Real Decreto apunta que será el CCN-CERT el encargado de organizar a los CSIRT.

Por otro lado, ENISA (Agencia de Seguridad de las Redes y de la Información de la Unión Europea) prestará asistencia a los Estados miembros y a la Comisión como órgano consultivo, junto con el Centro Europeo de Ciberdelincuencia (EUROPOL) que suministrará información.

¿Necesitas asesoramiento jurídico para tu empresa en materia de ciberseguridad? ¿Tienes alguna pregunta? ¡No dudes en ponerte en contacto con nosotros!

Estefanía Macías

Consultora Derecho TIC e ISO27001 de Secure&IT

by