Enlaces de interés

 

Asociarme

C/ Bahía de Pollensa, 11
28042 Madrid

623128927

C/ Bahía de Pollensa, 11
28042 Madrid

623128927

623128927

C/ Bahía de Pollensa, 11
28042 Madrid

623128927

C/ Bahía de Pollensa, 11
28042 Madrid

623128927

623128927

Publicado en el BOE el nuevo marco estratégico e institucional de seguridad de las redes y gestión de ciberincidentes

Home / Hemeroteca / Publicado en el BOE el nuevo marco estratégico e institucional de seguridad de las redes y gestión de ciberincidentes
por ASECOPS GESTION 1 de febrero de 2021 Hemeroteca 0 comentarios

Publicado en el BOE el nuevo marco estratégico e institucional de seguridad de las redes y gestión de ciberincidentes

Fuente: Noticias Jurídicas.-

Análisis del Real Decreto 43/2021, de 26 de enero, por el que se desarrolla el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información (B.O.E. de 28 de enero de 2021)

El Real Decreto 43/2021 se dicta en desarrollo de la habilitación contenida en la disposición final tercera del Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información, que transpone al ordenamiento jurídico español la Directiva 2016/1148, de 6 de julio, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión, conocida como la Directiva NIS (Security of Network and Information Systems) y tiene por objeto regular la seguridad de las redes y sistemas de información utilizados para la provisión de los servicios esenciales y los servicios digitales dentro de la Unión Europea.

Ámbito de aplicación

La norma es aplicable tanto a los servicios esenciales dependientes de las redes y sistemas de información comprendidos en los sectores estratégicos definidos en el anexo de la Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas, como a los servicios digitales que sean mercados en línea, motores de búsqueda en línea y servicios de computación en nube.

Por lo tanto están sometidos a ella:

  • los operadores de servicios esenciales establecidos en España, siendo también aplicable a los servicios esenciales que los operadores residentes o domiciliados en otro Estado ofrezcan a través de un establecimiento permanente situado en España,
  • Y a los proveedores de servicios digitales que tengan su sede social en España y que constituya su establecimiento principal en la Unión Europea, así como los que, no estando establecidos en la Unión Europea, designen en España a su representante en la Unión para el cumplimiento de la Directiva NIS.

Marco estratégico e institucional

Las autoridades competentes en materia de seguridad de las redes y sistemas de información serán, con carácter general, las siguientes:

  • Sector del transporte: el Ministerio de Transportes, Movilidad y Agenda Urbana, a través de la Secretaría de Estado de Transportes, Movilidad y Agenda Urbana.
  • Sector de la energía: el Ministerio para la Transición Ecológica y el Reto Demográfico, a través de la Secretaría de Estado de Energía.
  • Sector de las tecnologías de la información y las telecomunicaciones: el Ministerio de Asuntos Económicos y Transformación Digital, a través de la Secretaría de Estado de Digitalización e Inteligencia Artificial y la Secretaría de Estado de Telecomunicaciones e Infraestructuras Digitales.
  • Sector del sistema financiero: el Ministerio de Asuntos Económicos y Transformación Digital, a través de la Secretaría de Estado de Economía y Apoyo a la Empresa, en el ámbito de los seguros y fondos de pensiones; el Banco de España, para las entidades de crédito; la Comisión Nacional del Mercado de Valores, para las entidades que prestan servicios de inversión y las sociedades gestoras de instituciones de inversión colectiva.
  • Sector del espacio: el Ministerio de Defensa, a través de la Secretaría de Estado de Defensa.
  • Sector de la industria química: el Ministerio de Interior, a través de la Secretaría de Estado de Seguridad.
  • Sector de las instalaciones de investigación: el Ministerio de Ciencia e Innovación, a través de la Secretaría General de Investigación.
  • Sector de la salud: el Ministerio de Sanidad, a través de la Secretaría de Estado de Sanidad.
  • Sector del agua: el Ministerio para la Transición Ecológica y el Reto Demográfico, a través de la Secretaría de Estado de Medio Ambiente.
  • Sector de la alimentación: el Ministerio de Agricultura, Pesca y Alimentación, a través de la Secretaría General de Agricultura y Alimentación; el Ministerio de Sanidad, a través de la Secretaría de Estado de Sanidad; el Ministerio de Industria, Comercio y Turismo, a través de la Secretaría de Estado de Comercio; el Ministerio de Consumo, a través de la Agencia Española de Seguridad Alimentaria y Nutrición (AESAN).
  • Sector de la industria nuclear: el Ministerio para la Transición Ecológica y el Reto Demográfico, a través de la Secretaría de Estado de Energía; y el Consejo de Seguridad Nuclear.

Requisitos de seguridad

En cumplimiento de lo previsto en el art. 16.2 del Real Decreto-ley 12/2018, la norma dispone que los operadores de servicios esenciales y los proveedores de servicios digitales deberán adoptar las medidas técnicas y de organización adecuadas y proporcionadas para gestionar los riesgos que afecten a la seguridad de las redes y sistemas de información utilizados para la prestación de sus servicios, tanto si se trata de redes y sistemas propios, como de proveedores externos. En el caso de los operadores de servicios esenciales, deberán aprobar unas políticas de seguridad de las redes y sistemas de información, atendiendo a los principios de seguridad integral, gestión de riesgos, prevención, respuesta y recuperación, líneas de defensa, reevaluación periódica y segregación de tareas.

Estas medidas necesarias para el cumplimiento de las obligaciones de seguridad por parte de los operadores de servicios esenciales deberán concretarse en una declaración de aplicabilidad de medidas de seguridad suscrita por el responsable de seguridad de la información del operador.

Este responsable de seguridad de la información, que deberá designarse en el plazo de tres meses desde su designación como operador de servicios esenciales, actuará como punto de contacto con la autoridad competente en materia de supervisión de los requisitos de seguridad de las redes y sistemas de información, y como punto de contacto especializado para la coordinación de la gestión de los incidentes con el CSIRT de referencia. Asimismo, el Real Decreto concreta las funciones que han de desarrollarse bajo su responsabilidad, así como los requisitos que debe cumplir.

Incidentes de seguridad

La norma desarrolla las obligaciones de notificación por parte de los operadores de servicios esenciales de los incidentes que puedan tener efectos perturbadores significativos en dichos servicios, así como de los incidentes que puedan afectar a las redes y sistemas de información empleados para la prestación de los servicios esenciales aun cuando no hayan tenido un efecto adverso real sobre aquellos, por referencia a los niveles de impacto y peligrosidad, según sea el caso, previstos en la Instrucción nacional de notificación y gestión de ciberincidentes que adjunta en un anexo.

Los incidentes se asociarán a uno de los niveles de peligrosidad e impacto establecidos en la instrucción, teniendo en cuenta la obligatoriedad de notificación de todos aquellos que se categoricen con un nivel CRÍTICO, MUY ALTO o ALTO para todos aquellos sujetos obligados a los que les sea aplicable esta «Instrucción nacional de notificación y gestión de ciberincidentes». En ese caso, los sujetos obligados deberán comunicar, en tiempo y forma, los incidentes que registren en sus redes y sistemas de información y que estén obligados a notificar por superar los umbrales de impacto o peligrosidad establecidos en esta instrucción.

Supervisión y control

La norma contiene las disposiciones relativas a la supervisión del cumplimiento de obligaciones de seguridad y de notificación de incidentes, las cuales incluyen la obligación de los operadores de servicios esenciales y los proveedores de servicios digitales colaborarán con la autoridad competente en dicha supervisión.

Las autoridades competentes podrán realizar las actuaciones inspectoras que sean precisas para el ejercicio de su función de control, pudiendo requerir a los CSIRT su colaboración en el ejercicio de estas funciones de control y supervisión.

Por último, señalar que el Real Decreto recoge un régimen jurídico específico aplicable al Banco de España teniendo en cuenta su especial configuración jurídica como entidad de Derecho público con personalidad jurídica propia y plena capacidad pública y privada, que en el desarrollo de su actividad y para el cumplimiento de sus fines actúa con autonomía respecto a la Administración General del Estado, y como parte integrante del Sistema Europeo de Bancos Centrales (SEBC) y del Mecanismo Único de Supervisión (MUS). Esta especial configuración jurídica supone que el marco de seguridad de las redes y sistemas de información resulte de aplicación en la medida en que no interfiera con la naturaleza, funciones e independencia del Banco de España.

Entrada en vigor y disposiciones transitorias

El Real Decreto 43/2021, de 26 de enero, entra en vigor el 29 de enero de 2021, al día siguiente de su publicación en el Boletín Oficial del Estado.

La Secretaría de Estado de Seguridad del Ministerio del Interior, a través de la Oficina de Coordinación de Ciberseguridad (OCC), desempeñará temporalmente las funciones atribuidas por este real decreto al departamento ministerial con competencias en materia de energía, hasta que este disponga de los recursos humanos necesarios con la formación adecuada para ejercer estas competencias de forma efectiva según lo previsto en el artículo 3 y, en todo caso, en un plazo máximo de 12 meses.

 

El coronel Manuel Sánchez Corbí, jefe del SEPROSE, abandona la Guardia CivilNoticia anterior
Un chaleco antipinchazos salva a un vigilante del metro de ser apuñaladoSiguiente noticia