Analizamos el Real Decreto 43/2021, de 26 de enero, por el que se desarrolla el Real Decreto-ley 12/2018, de seguridad de las redes y sistemas de información, y que entró en vigor el 29 de enero.
En 2016, se aprobó la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión, conocida como la Directiva NIS (Security of Network and Information Systems).
La transposición de la citada Directiva NIS al ordenamiento jurídico español se llevó a cabo mediante el Real Decreto-ley 12/2018 (RDL), que regula la seguridad de las redes y sistemas de información utilizados para la provisión de los servicios esenciales y los servicios digitales, estableciendo mecanismos que, con una perspectiva integral, permiten mejorar la protección frente a las amenazas que afectan a las redes y sistemas de información.
El nuevo Real Decreto 43/2021 desarrolla el RDL en lo relativo al establecimiento de un marco estratégico e institucional de seguridad de las redes y sistemas de información, la supervisión del cumplimiento de las obligaciones de seguridad de los operadores de servicios esenciales y de los proveedores de servicios digitales, y a la gestión de los incidentes de seguridad.
Este Real Decreto no se aplicará a:
En lo relativo al marco estratégico e institucional, el RD en su art. 3 relaciona cuáles son las autoridades competentes por sectores de actividad.
Seguidamente, regula la cooperación y coordinación entre los equipos de respuesta a incidentes de seguridad informática (CSIRT) de referencia, y de estos con las autoridades competentes, que se instrumentan a través de la Plataforma Nacional de Notificación y Seguimiento de Ciberincidentes.
El Capítulo III establece los requisitos de seguridad (medidas técnicas y organizativas) que deberán adoptar los operadores de servicios esenciales y los proveedores de servicios digitales para gestionar los riesgos que afecten a la seguridad de las redes y sistemas de información utilizados para la prestación de sus servicios, tanto si se trata de redes y sistemas propios, como de proveedores externos.
Para los operadores esenciales, la relación de medidas adoptadas se formalizará en un acuerdo denominado Acuerdo de Aplicabilidad de medidas de seguridad que deberá remitirse a la autoridad competente en el plazo de seis meses desde la designación de operador esencial y revisarse, al menos, cada 3 años.
En la elaboración de las políticas de seguridad de redes y sistemas de información se tendrán en cuenta los riesgos que se deriven del tratamiento de los datos personales, de acuerdo con el art 24 RGPD.
Los operadores de servicios esenciales deberán notificar los incidentes que puedan tener efectos perturbadores significativos en dichos servicios, clasificándolos en función de su criticidad con un nivel de impacto crítico, muy alto o alto.
También deberán ser objeto de notificación los incidentes que puedan afectar a las redes y sistemas de información empleados para la prestación de los servicios esenciales, aun cuando no hayan tenido un efecto adverso real sobre aquellos.
La notificación de un ciberincidente atendiendo los requisitos de este Real Decreto no excluye ni sustituye la notificación de los mismos hechos a otras organismos, como por ej. a la AEPD.
El Real Decreto incorpora en su Anexo una Instrucción de notificación y gestión de ciberincidentes, relativa a:
Artículo de Periscopio fiscal & Legal : https://periscopiofiscalylegal.pwc.es/un-repaso-al-real-decreto-43-2021-de-26-de-enero-de-seguridad-de-las-redes-y-sistemas-de-informacion/?sub=true
Socia responsable de Regulación Digital