Hoy se publica en el BOE el Real Decreto 43/2021 por el que se desarrolla el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información.

Este Real Decreto, que entrará en vigor mañana, se encuadra en el ámbito de las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión, conforme a la Directiva NIS (Security of Network and Information Systems). Pretende regular la seguridad de las redes y sistemas de información utilizados para la provisión de los servicios esenciales y los servicios digitales, estableciendo mecanismos que permitan mejorar la protección frente a las amenazas que afectan a las redes y sistemas de información, y fijando un marco institucional de cooperación que facilite la coordinación de las actuaciones realizadas en esta materia.

La norma es aplicable tanto a los servicios esenciales dependientes de las redes y sistemas de información comprendidos en los sectores estratégicos, como a los servicios digitales que sean mercados en línea, motores de búsqueda en línea y servicios de computación en nube.

Se excluyen de su ámbito los operadores de redes y servicios de comunicaciones electrónicas y los prestadores de servicios electrónicos de confianza que no sean designados como operadores críticos.

El Real Decreto

El Real Decreto señala las autoridades competentes en materia de seguridad de las redes y sistemas de información en los diferentes sectores y recoge los supuestos de cooperación y coordinación entre los equipos de respuesta a incidentes de seguridad informática (CSIRT) de referencia, y de estos con las autoridades competentes, que se instrumentan a través de la Plataforma Nacional de Notificación y Seguimiento de Ciberincidentes.

También se ocupa de la figura del punto de contacto único creado por Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, concretando sus funciones de enlace para garantizar la cooperación transfronteriza con las autoridades competentes de otros Estados miembros de la UE y con el grupo de cooperación y la red de CSIRT.

En cumplimiento de lo previsto en el art. 16.2 del Real Decreto-ley 12/2018, la norma dispone que los operadores de servicios esenciales y los proveedores de servicios digitales deberán adoptar las medidas técnicas y de organización adecuadas y proporcionadas para gestionar los riesgos que afecten a la seguridad de las redes y sistemas de información utilizados para la prestación de sus servicios, tanto si se trata de redes y sistemas propios, como de proveedores externos.

En el caso de los operadores de servicios esenciales, deberán aprobar unas políticas de seguridad de las redes y sistemas de información, atendiendo a los principios de seguridad integral, gestión de riesgos, prevención, respuesta y recuperación, líneas de defensa, reevaluación periódica y segregación de tareas.

Las medidas necesarias para el cumplimiento de las obligaciones de seguridad por parte de los operadores de servicios esenciales deberán concretarse en una declaración de aplicabilidad de medidas de seguridad suscrita por el responsable de seguridad de la información del operador.

El responsable de seguridad de la información deberá designarse en el plazo de 3 meses desde la designación como operador de servicios esenciales y actuará como punto de contacto con la autoridad competente en materia de supervisión de los requisitos de seguridad de las redes y sistemas de información, así como punto de contacto especializado para la coordinación de la gestión de los incidentes con el CSIRT de referencia.

La norma desarrolla las obligaciones de notificación de los incidentes que puedan tener efectos perturbadores significativos en servicios esenciales, así como de los incidentes que puedan afectar a las redes y sistemas de información empleados para la prestación de los servicios esenciales, aun cuando no hayan tenido un efecto adverso real sobre aquellos.

Los incidentes se asociarán a uno de los niveles de peligrosidad e impacto establecidos en la instrucción, siendo de notificación obligatoria aquellos que se categoricen con un nivel CRÍTICO, MUY ALTO o ALTO. En ese caso, los sujetos obligados deberán comunicar, en tiempo y forma, los incidentes que registren en sus redes y sistemas de información y que estén obligados a notificar por superar los umbrales de impacto o peligrosidad establecidos en la instrucción.

Para ello, se incorpora la regulación del procedimiento de notificación de incidentes, a realizar a través de la Plataforma Nacional de Notificación y Seguimiento de Ciberincidentes, intercambiándose la información entre los operadores de servicios esenciales y proveedores de servicios digitales, las autoridades competentes y los CSIRT de referencia.

Además, el Real Decreto se refiere a la proporción de información pertinente sobre dichos incidentes por parte de las autoridades competentes y los CSIRT a los operadores de servicios esenciales y a los proveedores de servicios digitales, y recoge de forma específica las actuaciones a realizar en los supuestos de incidentes con carácter presuntamente delictivo.

La norma contiene las disposiciones relativas a la supervisión del cumplimiento de obligaciones de seguridad y de notificación de incidentes, existiendo obligación de los operadores de servicios esenciales y los proveedores de servicios digitales de colaborar con la autoridad competente en dicha supervisión.

Las autoridades competentes podrán realizar las actuaciones inspectoras que sean precisas para el ejercicio de su función de control, pudiendo requerir a los CSIRT su colaboración en el ejercicio de estas funciones de control y supervisión.

El Real Decreto recoge un régimen jurídico específico aplicable al Banco de España, habida cuenta su especial configuración jurídica, su actuación con autonomía respecto a la Administración General del Estado, y como parte integrante del SEBC y del MUS. Esta especial configuración jurídica supone que el marco de seguridad de las redes y sistemas de información resulte de aplicación en la medida en que no interfiera con la naturaleza, funciones e independencia del Banco de España.

[/tatsu_text][/tatsu_column][/tatsu_row][/tatsu_section]