NUEVO PARADIGMA EN CIBERSEGURIDAD

Protección de Datos

La nueva normativa en ciberseguridad.

El pasado 28 de enero de 2021 se aprobó el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información, cuyo objetivo es el de regular la seguridad de las redes y sistemas de información utilizados para la provisión de los servicios esenciales y los servicios digitales.

Esta normativa ha sido el resultado de la transposición de la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión, conocida como la Directiva NIS (Security of Network and Information Systems).

¿Cuál es el objetivo?

Las normativas han sido aprobadas a fin de que las empresas u operadores apliquen medidas de ciberseguridad para proteger las redes y los sistemas de información de forma integral, permitiendo que mejore la protección frente a las amenazas constantes que afectan a dichas redes y sistemas.

Además, se ha regulado a nivel europeo para crear un marco institucional de cooperación para facilitar la coordinación de las actuaciones realizadas en esta materia; tanto a nivel nacional como con los países de nuestro entorno, en particular, dentro de la Unión Europea, puesto que las ciberamenazas no tienen fronteras.

¿Cómo se regula a nivel español?

El RDL de seguridad de las redes y sistemas de información, pretende crear un marco estratégico e institucional; así como de supervisión del cumplimiento de las obligaciones de seguridad de los operadores de servicios esenciales y de los proveedores de servicios digitales, y la gestión de incidentes de seguridad.

¿A quién aplica esta normativa?

  1. Prestación de servicios esenciales dependientes de las redes y sistemas de información comprendidos en los sectores estratégicos. (Administración, espacio, industria nuclear, industria química, instalaciones de investigación, agua, energía, salud, tecnologías de la información y las comunicaciones –TIC-, transporte, alimentación, sistema financiero y tributario).
  2. Prestación de los servicios digitales que sean mercados en línea, motores de búsqueda en línea y servicios de computación en nube
  3. Los operadores de servicios esenciales establecidos en España.
  4. Los proveedores de servicios digitales. (Excepto que se trate de microempresas o pequeñas empresas de conformidad con la Recomendación 2003/361/CE de la Comisión, de 6 de mayo de 2003, sobre la definición de microempresas, pequeñas y medianas empresas)

¿Cuáles son algunas de las obligaciones de los operadores y proveedores afectados?

1) Esquema Nacional de Seguridad, otros estándares de ciberseguridad y RGPD.

Los operadores de servicios esenciales y los proveedores de servicios digitales deben aplicar medidas técnicas y de organización adecuadas y proporcionadas para gestionar los riesgos que afecten a la seguridad de las redes y sistemas de información utilizados para la prestación de sus servicios; tanto si se trata de redes y sistemas propios, como de proveedores externos. Esto es, deberán aplicar las medidas establecidas por el Esquema Nacional de Seguridad y podrán tener en cuenta otros estándares reconocidos internacionalmente. Además, se deberán tener en cuenta las medidas establecidas por el Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas; en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.

2) Responsable de Seguridad

Por otro lado, los operadores deberán designar un Responsable de Seguridad de la Información. Que ejercerá las funciones de punto de contacto y coordinación técnica con la autoridad competente y el equipo de Ciberseguridad y Gestión de Incidentes –CSIRT- de referencia que le corresponda.

Asimismo, las funciones del responsable de seguridad son, entre otras:

  • proponer políticas de seguridad,
  • elaborar el documento de Declaración de aplicabilidad (que incluya las medidas de seguridad establecidas por el ENS),
  • actuar como capacitador de buenas prácticas en las redes y sistemas de información,
  • remitir a la autoridad competente las notificaciones de incidentes,
  • supervisar la aplicación de instrucciones y guías de las autoridades, etc.

¿Quién puede ser Responsable de Seguridad?

Una persona o órgano colegiado. En el supuesto que sea un órgano colegiado siempre deberá designar a una persona física representante; que deberá contar con conocimientos especializados y experiencia en materia de ciberseguridad (desde el punto de vista organizativo, técnico y jurídico). Contar con los recursos necesarios para desarrollar sus funciones; poder participar de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la seguridad, y manteniendo una comunicación real y efectiva con la alta dirección, mantener la debida independencia respecto de los responsables de las redes y los sistemas de información.

    He leído y acepto el Aviso Legal y la Política de Privacidad

    Autorizo recibir ofertas y promociones, así como otra información comercial y de interés