Page Loader

Durante este 2022, nuestro país está sufriendo multitud de ataques por parte de los ciberdelincuentes. Durante los últimos 10 años se está regulando diferentes normativas cuya finalidad es proteger las actividades estratégicas e implementar un sistema único de gestión de los incidentes/brechas de seguridad, e introducir en las compañías la figura del Responsable de Seguridad.

 

El pasado mes de enero, se publicó el Real Decreto 43/2021, de 26 de enero, por el que se desarrolla el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información.

 

Este decreto define y mejora el RDL 12/2018 de 7 de septiembre, definiendo de una forma más clara, las figuras que intervienen en la comunicación de cualquier brecha de seguridad que se produzca en las entidades públicas y privadas.

 

La aplicación de este RD son:

  • Servicios esenciales definidos en el anexo de la Ley 8/2011 de 28 de abril
  • Servicios digitales que sean mercados en línea, motores de búsqueda y servicios de computación en la nube.
  • Operadores de servicios esenciales establecidos en España (domicilio social en el país).
  • Proveedores de servicios digitales con sede social en España y aquellos que no estando en la UE, designen en España a su representante en la UE.

No se aplicará este RD:

  • Operadores de redes y servicios de comunicaciones electrónicas que no hayan sido designados como operadores críticos según Ley 8/2011 de 28 de abril.
  • Proveedores de Servicios Digitales clasificados como microempresas o pequeñas empresas según Recomendación 2003/361/CE de la Comisión, de 6 de mayo 2003, art. 2 Los efectivos y límites financieros que definen las categorías de empresas.
  • Cuando una normativa nacional o comunitaria establezca para un sector obligaciones de seguridad en las redes y sistemas de información o de notificación de incidentes que tengan efectos, al menos, equivalentes a las obligaciones previstas en el Real Decreto Ley 12/2018 de 7 de septiembre.

El artículo 7 de este RD, obliga a las entidades públicas o privadas, a comunicar en un plazo máximo de 3 meses, desde la designación como servicio esencial, su Responsable de Seguridad.

También este RD, introduce la obligatoriedad de adoptar medidas técnicas y organizativas, para gestionar los riesgos que afecten a la seguridad de las redes y sistemas de información, utilizados para la prestación de sus servicios, tanto si se trata de redes y sistemas propios, como de proveedores externos. En el caso de servicios esenciales, deberán aprobar unas políticas de seguridad de las redes y sistemas de información, atendiendo a los principios de seguridad integral, gestión de riesgos, prevención, respuesta y recuperación, líneas de defensa, reevaluación periódica y segregación de tareas.

 

Estas Políticas deberán contemplar:

  1. Análisis y gestión de riesgos.
  2. Gestión de riesgos de terceros o proveedores.
  3. Catálogo de medidas de seguridad, organizativas, tecnológicas y físicas.
  4. Gestión del personal y profesionalidad.
  5. Adquisición de productos o servicios de seguridad.
  6. Detección y gestión de incidentes.
  7. Planes de recuperación y aseguramiento de la continuidad de las operaciones.
  8. Mejora continua.
  9. Interconexión de sistemas.
  10. Registro de la actividad de los usuarios.

ES MUY IMPORTANTE mencionar, que la relación de medidas adoptadas, se formalizarán en un documento, denominado Declaración de Aplicabilidad de medidas de seguridad, que será suscrito por el responsable de seguridad de la información designado y que se incluirá, en la política de seguridad que apruebe la Dirección de la organización. Dicho documento, que deberá remitirse a la autoridad competente respectiva, en el plazo de seis meses desde la designación del operador como operador de servicios esenciales, deberá revisarse, al menos, cada tres años. Tanto la Declaración de Aplicabilidad de medidas de seguridad inicial, como sus sucesivas revisiones, serán objeto de supervisión por la autoridad competente respectiva, según se prevé en el artículo 14 de este real decreto.

 

Desde asisolution, ofrecemos el servicio de Responsable de Seguridad, que puede ser prestado por un tercero, tal y como recoge el art. 7 de este RD.

Si necesita aclaración sobre este RD. o las funciones del Responsable de Seguridad contacte con nosotros mediante nuestro FORMULARIO DE CONTACTO

 

Enlaces de interés para el internauta