Asesoría para sociedades y autónomos

942 235 958

Seguridad de las redes y sistemas de información

Real Decreto 43/2021, de 26 de enero, por el que se desarrolla el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información.

Mediante el reciente Real Decreto 43/2021, de 26 de enero, cuya entrada en vigor se produjo el pasado 29 de enero de 2021, se viene a desarrollar el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información en lo relativo al marco estratégico e institucional de seguridad de las redes y sistemas de información, la supervisión del cumplimiento de las obligaciones de seguridad de los operadores de servicios esenciales y de los proveedores de servicios digitales, y la gestión de incidentes de seguridad.

Conceptos fundamentales

La seguridad de las redes y sistemas de información se ha de entender como la capacidad de las redes y sistemas de información de resistir, con un nivel determinado de fiabilidad, toda acción que comprometa la disponibilidad, autenticidad, integridad o confidencialidad de los datos almacenados, transmitidos o tratados, o los servicios correspondientes ofrecidos por tales redes y sistemas de información o accesibles a través de ellos.

Los servicios esenciales son los servicios necesarios para el mantenimiento de las funciones sociales básicas, la salud, la seguridad, el bienestar social y económico de los ciudadanos, o el eficaz funcionamiento de las Instituciones del Estado y las Administraciones Públicas, que dependa para su provisión de redes y sistemas de información.

Los proveedores de servicios digitales son las personas jurídicas que prestas un servicio digital.

La gestión de incidentes se entiende como el conjunto de procedimientos seguidos para detectar, analizar y limitar un incidente o un suceso inesperado o no deseado con consecuencias en detrimento de la seguridad de las redes y sistemas de información y responder ante éste.

Marco estratégico e institucional de seguridad de las redes y sistemas de información

Para garantizar el marco estratégico de seguridad de las redes y sistemas de información, se dispuso de la Estrategia de Ciberseguridad Nacional, al amparo y alineada con la Estrategia de Seguridad Nacional, que enmarcaría los objetivos y las medidas para alcanzar y mantener el elevado nivel de seguridad exigido en la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016.

Con el nuevo real decreto que sirve de desarrollo se establecen una serie de medidas concretas para el cumplimiento de las obligaciones de seguridad, estas son:

  • Los proveedores de servicios digitales deberán adoptar las medidas técnicas y de organización adecuadas y proporcionadas para gestionar los riesgos que afecten a la seguridad de las redes y sistemas de información utilizados para la prestación de sus servicios.
  • En el caso de los operadores de servicios esenciales, además deberán aprobar unas políticas de seguridad de las redes y sistemas de información, atendiendo a los principios de seguridad integral, gestión de riesgos, prevención, respuesta y recuperación, líneas de defensa, reevaluación periódica y segregación de tareas.
  • Las medidas adoptadas se formalizarán en un documento denominado Declaración de Aplicabilidad de medidas de seguridad, que será suscrito por el responsable de seguridad de la información, se incluirán en la política de seguridad que apruebe la dirección de la organización y deberán remitirse a la autoridad competente respectiva en el plazo de seis meses desde la designación del operador.
  • Todas las medidas deberán tomar como referencia lo establecido en el anexo II del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, en la medida en que sean aplicables, y se basarán, cuando sea posible, en otros esquemas nacionales de seguridad existentes e incluso podrán tenerse en cuenta otros estándares reconocidos internacionalmente. Además, se complementarán con las que, en su caso, establezcan con carácter específico las autoridades competentes.
  • Los operadores de servicios esenciales deberán designar un responsable de la seguridad de la información que actuará como punto de contacto con la autoridad competente en materia de supervisión de los requisitos de seguridad de las redes y sistemas de información, y como punto de contacto especializado para la coordinación de la gestión de los incidentes con el CSIRT de referencia (Computer Security Incident Response Team o Equipo de Respuesta ante Incidencias de Seguridad Informáticas).

Supervisión del cumplimiento de las obligaciones de seguridad de los operadores de servicios esenciales y de los proveedores de servicios digitales

Las autoridades competentes supervisarán en su ámbito de actuación el cumplimiento de las obligaciones de seguridad y de notificación de incidentes que sean de aplicación a los operadores de servicios esenciales y a los proveedores de servicios digitales quienes deberán colaborar en dicha supervisión, facilitando las actuaciones de inspección, proporcionando toda la información que a tal efecto se les requiera, y aplicando las instrucciones dictadas, en su caso, para la subsanación de las deficiencias observadas.

El cumplimiento de las obligaciones de seguridad en las redes y sistemas de información podrá ser acreditado mediante la certificación en un esquema de seguridad que, previa consulta al CSIRT de referencia, sea reconocido por la autoridad competente.

Las autoridades competentes, que son las reconocidas en el artículo 9 del Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información, podrán realizar las actuaciones inspectoras que sean precisas para el ejercicio de su función de control que, apoyadas por los CSIRT de referencia, consistirán en:

  • Controlar el cumplimiento de las normas e instrucciones técnicas que, en su caso, resulten aplicables a los operadores sujetos a su supervisión.
  • Verificar el cumplimiento de las funciones del responsable de seguridad de la información designado por los operadores de servicios esenciales.
  • Realizar las comprobaciones, inspecciones, pruebas y revisiones necesarias para verificar el cumplimiento de las medidas de seguridad, en particular, la política de seguridad de los operadores de servicios esenciales y la Declaración de aplicabilidad de medidas de seguridad.

Asimismo, cuando se trate de operadores con incidencia en la Defensa Nacional, el ESPDEF-CERT del Mando Conjunto del Ciberespacio como órgano de ciberdefensa militar en el ámbito nacional e internacional, podrá colaborar en la supervisión con la autoridad competente.

En el caso de los proveedores de servicios digitales la supervisión se llevará a cabo de manera coordinada con las autoridades competentes correspondientes de los Estados miembros de la Unión Europea donde dichos proveedores presten servicios o tengan su establecimiento principal en la Unión.

Gestión de incidentes de seguridad

Los operadores de servicios esenciales y los proveedores de servicios digitales deberán gestionar y resolver los incidentes de seguridad que afecten a las redes y sistemas de información utilizados para la prestación de sus servicios. En el caso de redes y sistemas que no sean propios los operadores deberán tomar las medidas necesarias para garantizar que dichas acciones se lleven a cabo por los proveedores externos.

Esta obligación alcanza tanto a los incidentes detectados por el propio operador o proveedor como a los que les señalen el CSIRT de referencia o la autoridad competente, cuando tengan conocimiento de alguna circunstancia que haga sospechar de la existencia de un incidente.

Los incidentes que puedan tener efectos perturbadores significativos en dichos servicios, es decir aquellos con un nivel de impacto crítico alto o muy alto, serán notificados a la autoridad competente a través del CSIRT de referencia. Asimismo, también se deberán notificar los sucesos o incidencias que, por su nivel de peligrosidad, puedan afectar a las redes y sistemas de información empleados para la prestación de los servicios esenciales, aun cuando no hayan tenido todavía un efecto adverso real sobre aquellos.

En cuanto al procedimiento de notificación de incidentes, los CSIRT de referencia garantizarán un intercambio fluido de información con las autoridades competentes que correspondan, asegurando el adecuado seguimiento durante la gestión, así como el acceso a la información empleada en las distintas fases que componen la gestión de incidentes. Por su parte, los operadores de servicios esenciales realizarán las notificaciones a través del responsable de la seguridad de la información designado.

La Plataforma Nacional de Notificación y Seguimiento de Ciberincidentes, puesta a disposición de todos los actores involucrados permitirá el intercambio de información y el seguimiento de incidentes entre los operadores de servicios esenciales o proveedores de servicios digitales, las autoridades competentes y los CSIRT de referencia de manera segura y confiable, sin perjuicio de los requisitos específicos que apliquen en materia de protección de datos de carácter personal.

BOE:
Source: Actualidad normativa

Compártelo:

Picture of Asesoría Santander

Asesoría Santander

Categorías:

Buscar artículos:

Novedades del blog

¿Necesitas asesoramiento experto?

Completa el formulario y recibe una respuesta personalizada de nuestros especialistas

Responsable: Asinem Asesores y Promotores, S.L.

Finalidad de la recogida y tratamiento de los datos personales: gestionar la solicitud que realizas en este formulario y si, finalmente eres cliente, remitirte información sobre el estado del servicio contratado y comunicaciones sobre la empresa.

Legitimación: consentimiento del interesado.

Destinatarios: tus datos serán guardados en RAIOLA NETWORKS S.L., mi proveedor de hosting, y en gmail, mi proovedor de email, y que también cumple con el RGPD

Derechos: Podrás ejercer tus derechos de acceso, rectificación, limitación y suprimir los datos en asesoria@asinem-asesores.com así como el derecho a presentar una reclamación ante una autoridad de control

Información adicional: En nuestra política de privacidad encontrarás información adicional sobre la recopilación y el uso de su información personal, incluida información sobre acceso, conservación, rectificación, eliminación, seguridad, y otros temas.

Posts relacionados:

Anteproyecto de ley de alcohol y menores
3 de septiembre de 2024 No hay comentarios

El objetivo es prevenir el consumo de alcohol, retrasando la edad de inicio, proteger las consecuencias del consumo y reducir los episodios de consumo intensivo en este grupo vulnerable. Datos de consumo Según la Encuesta Estatal sobre Uso de Drogas en Enseñanzas Secundarias en España (ESTUDES), el alcohol es la

Leer más »
Ayudas a actuaciones de fortalecimiento industrial en los sectores de la pesca y la acuicultura, dentro del PERTE Agroalimentario
3 de septiembre de 2024 No hay comentarios

La Dirección General de Programas Industriales del Ministerio de Industria y Turismo ha sido el departamento que ha solicitado una transferencia de crédito al Ministerio de Agricultura, Pesca y Alimentación, por importe de 20 millones, con el fin de posibilitar la convocatoria de ayudas a las actuaciones de fortalecimiento industrial

Leer más »
Consejo de la Productividad
3 de septiembre de 2024 No hay comentarios

La creación del Consejo está en línea con las mejores prácticas internacionales, tendrá autonomía funcional, se basará en la colaboración institucional y estará compuesto por personas de reconocida experiencia y competencia en la materia. El Consejo de la Productividad tendrá entre sus funciones la elaboración de análisis económicos y estadísticos

Leer más »
Asesoría integral de empresas, arbitraje
Reglamento del Sistema Arbitral de Consumo
29 de julio de 2024 No hay comentarios

El pasado día 24 de julio de 2024 se publicó en el BOE el Real Decreto 713/2024, de 23 de julio, por el que se aprueba el Reglamento que regula el Sistema Arbitral de Consumo que no entrará en vigor sino hasta el próximo día 13 de agosto de 2024.

Leer más »

Asesoría sociedades y autónomos

ASINEM Asesores

Asesoría fiscal, contable, laboral, mercantil y jurídica

Calle Valderrama, 2A
39010
Santander Cantabria

Datos de contacto

Páginas de interés

Ayudas y subvenciones
Agencia Tributaria
Seguridad Social
Boletín Oficial del Estado
Boletín Oficial de Cantabria
Calendario fiscal
This website runs on green hosting - verified by thegreenwebfoundation.org

Navega por la web

Más de ASINEM

Declaración de la renta
Aviso Legal
Política de Privacidad
Política de Cookies

Página diseñada y optimizada por Atalaya SEO® Cantabria

¿Hablamos?
1
¡Bienvenido! Estamos aquí para asesorarte en lo que necesites. ¿Cómo podemos ayudarte?