Publicado en el BOE el Real Decreto 43/2021 de transposición de la Directiva europea NIS

Introducción

El pasado 28 de enero de 2021 fue actualizado el “Código de Derecho de la Ciberseguridad” por la inclusión del Real Decreto 43/2021, de 26 de enero, por el que se desarrolla el Real Decreto-Ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información.

Real Decreto 43/2021

En el ámbito europeo, con el objetivo de dar una respuesta efectiva a los problemas de seguridad de las redes y sistemas de información, se aprobó la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión, conocida como la Directiva NIS (Security of Network and Information Systems).

Esta norma parte de un enfoque global de la seguridad de las redes y sistemas de información en la Unión Europea, integrando requisitos mínimos comunes en materia de desarrollo de capacidades y planificación, intercambio de información, cooperación y requisitos comunes de seguridad para los operadores de servicios esenciales y los proveedores de servicios digitales.

La transposición de la citada Directiva NIS al ordenamiento jurídico español se llevó a cabo mediante el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información.

Esta norma legal regula la seguridad de las redes y sistemas de información utilizados para la provisión de los servicios esenciales y los servicios digitales, estableciendo mecanismos que, con una perspectiva integral, permiten mejorar la protección frente a las amenazas que afectan a las redes y sistemas de información, y fijando un marco institucional de cooperación que facilita la coordinación de las actuaciones realizadas en esta materia tanto a nivel nacional como con los países de nuestro entorno, en particular, dentro de la Unión Europea.

Ámbito de aplicación

El Real Decreto 43/2021 aplica a los:

  • Servicios esenciales de las infraestructuras críticas.
  • Servicios digitales a que sean mercados en línea, motores de búsqueda en línea y servicios de computación en la nube.

Están sometidos al Real Decreto 43/2021 los:

  • Operadores de servicios esenciales establecidos en España.
  • Proveedores de servicios digitales que tengan su sede social en España.

El Real Decreto 43/2021 no aplica a los:

  • Operadores de redes y servicios y los prestadores de servicios electrónicos de confianza que no sean designados como operadores críticos, en virtud de la ley 8/2011 de 28 abril.
  • Proveedores de servicios digitales cuando se trate de microempresas o pequeñas empresas.

Incidentes

Entre los diferentes puntos tratados en el Real Decreto 43/2021, cabe destacar los referentes a la notificación de incidentes.

Los artículos 8 y 9 del Real Decreto 43/2021 desarrollan las obligaciones de notificación por parte de los operadores de servicios esenciales de los incidentes que puedan tener efectos perturbadores significativos en dichos servicios, así como de los incidentes que puedan afectar a las redes y sistemas de información empleados para la prestación de los servicios esenciales.

En el artículo 11.2 párrafo primero del Real Decreto-ley 12/2018, de 7 de septiembre, se establecía que el CCN-CERT será el responsable de ejercer la coordinación nacional de la respuesta técnica de los CSIRT en aquellos supuestos de especial gravedad.

Protección de infraestructuras críticas

La Ley de Protección de Infraestructuras Críticas (Ley 8/2011, de 28 de abril, LPIC) y su desarrollo como Real Decreto 704/2011, el Centro Nacional para la Protección de Infraestructuras Críticas (CNPIC) considera al sector de las tecnologías de la información y comunicaciones como crítico.

El objeto de esta normativa es fortalecer la seguridad de las infraestructuras críticas del Estado y el propio sistema europeo de infraestructuras, que en la mayoría de los casos se encuentran interconectados entre sí.

ISO/IEC 27001

El dominio “A.16 Gestión de incidentes de seguridad de la información” de la norma “ISO/IEC 27001. Sistema de gestión de la seguridad de la información (SGSI)” plantea un enfoque coherente y eficaz para la gestión de este tipo de incidentes.

Haga click, si desea información de servicios de ciberseguridad.