Hace casi un mes el Boletín Oficial del Estado publicaba el Real Decreto 43/2021, de 26 de enero, por el que se articula el Reglamento de Seguridad de las Redes y Sistemas de la Información. Una norma que tiene como objetivo desarrollar la Ley NIS, aprobada mediante Real Decreto-ley en 2018, en cuanto al marco institucional en la materia, las medidas a implementar, la cooperación y coordinación, la gestión y notificación de incidentes, la supervisión de los requisitos de ciberseguridad o la función del CISO. Además, este real decreto pormenoriza el marco estratégico e institucional de seguridad de las redes y sistemas de información en lo relativo al cumplimiento de las obligaciones de seguridad de los operadores de servicios esenciales y de los proveedores de servicios digitales y a la gestión de incidentes de seguridad. ¿Quieres conocer cuáles son sus grandes novedades?
El Reglamento NIS afecta a los operadores y proveedores de servicios esenciales con actividad en nuestro país. No obstante, quedan excluidos de su ámbito de aplicación los operadores de redes y servicios de comunicaciones electrónicas y los prestadores de servicios electrónicos de confianza que no sean designados como operadores críticos.
Algunas de las grandes novedades que incluye el Reglamento NIS, que entró en vigor recientemente son:
Responsable de Seguridad (CISO):
En el Real Decreto Ley ya se contemplaba la mención referida a la necesidad de nombrar un responsable de Seguridad, si bien en el Reglamento NIS se detallan sus funciones entre las que podemos destacar:
-Los operadores de servicios esenciales designarán a una persona como responsable de la seguridad de la información para que ejerza las funciones de punto de contacto y coordinación con las autoridades competentes y CSIRT de referencia, tanto para la evaluación de las medidas de seguridad implantadas como para la notificación de posibles incidentes.
-Estos profesionales tendrán entre sus funciones elaborar y proponer para su aprobación las políticas de seguridad necesarias para gestionar los riesgos para la seguridad de las redes y sistemas de información y reducir el impacto de los ciberincidentes.
-Otras funciones serían elaborar el documento de Declaración de Aplicabilidad con las medidas de seguridad; y la supervisión de la aplicación y revisión tanto de las políticas como de las medidas de seguridad.
La nueva norma determina que las autoridades competentes en ciberseguridad serán las que recoge la Ley NIS -Secretarías de Estado de Seguridad, Defensa y para el Avance Digital a través de diferentes órganos-. Pero también designa autoridades competentes para los operadores privados de servicios esenciales que no sean críticos. Así, el Reglamento NIS señala los organismos responsables para los sectores de transporte, energía, TIC, sistema financiero, espacio, industria química, salud,alimentación e industria nuclear, entre otros.
Por otro lado, el Reglamento NIS recoge el establecimiento de un sistema de cooperación y coordinación entre los CSIRT de referencia. En este sentido, la norma crea la Plataforma Nacional de Notificación y Seguimiento de Ciberincidentes, que permitirá el intercambio de información y el seguimiento de incidentes entre los operadores de servicios esenciales o proveedores de servicios digitales, las autoridades competentes y los CSIRT de referencia.
Enlace entre las autoridades
El Departamento de Seguridad Nacional es el punto de contacto único para ejercer de enlace entre autoridades competentes nacionales y de la Unión Europea, el Grupo de Cooperación Europeo y la red de CRSIT. El reglamento recoge concretamente las funciones de este organismo, entre las que se encuentra comunicar a la Comisión Europea la lista de operadores de servicios esenciales nacionales establecidos para cada sector y subsector, remitir a los CSIRT de referencia y a las autoridades competentes nacionales la información sobre incidentes con efectos perturbadores en los servicios esenciales, entre otras.
Accede aquí al Real Decreto íntegro.