asesoria@asinem-asesores.com
942 235 958

Noticias del sector

Seguridad de las redes y sistemas de información

Real Decreto 43/2021, de 26 de enero, por el que se desarrolla el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información.

Mediante el reciente Real Decreto 43/2021, de 26 de enero, cuya entrada en vigor se produjo el pasado 29 de enero de 2021, se viene a desarrollar el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información en lo relativo al marco estratégico e institucional de seguridad de las redes y sistemas de información, la supervisión del cumplimiento de las obligaciones de seguridad de los operadores de servicios esenciales y de los proveedores de servicios digitales, y la gestión de incidentes de seguridad.

Conceptos fundamentales

La seguridad de las redes y sistemas de información se ha de entender como la capacidad de las redes y sistemas de información de resistir, con un nivel determinado de fiabilidad, toda acción que comprometa la disponibilidad, autenticidad, integridad o confidencialidad de los datos almacenados, transmitidos o tratados, o los servicios correspondientes ofrecidos por tales redes y sistemas de información o accesibles a través de ellos.

Los servicios esenciales son los servicios necesarios para el mantenimiento de las funciones sociales básicas, la salud, la seguridad, el bienestar social y económico de los ciudadanos, o el eficaz funcionamiento de las Instituciones del Estado y las Administraciones Públicas, que dependa para su provisión de redes y sistemas de información.

Los proveedores de servicios digitales son las personas jurídicas que prestas un servicio digital.

La gestión de incidentes se entiende como el conjunto de procedimientos seguidos para detectar, analizar y limitar un incidente o un suceso inesperado o no deseado con consecuencias en detrimento de la seguridad de las redes y sistemas de información y responder ante éste.

Marco estratégico e institucional de seguridad de las redes y sistemas de información

Para garantizar el marco estratégico de seguridad de las redes y sistemas de información, se dispuso de la Estrategia de Ciberseguridad Nacional, al amparo y alineada con la Estrategia de Seguridad Nacional, que enmarcaría los objetivos y las medidas para alcanzar y mantener el elevado nivel de seguridad exigido en la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016.

Con el nuevo real decreto que sirve de desarrollo se establecen una serie de medidas concretas para el cumplimiento de las obligaciones de seguridad, estas son:

  • Los proveedores de servicios digitales deberán adoptar las medidas técnicas y de organización adecuadas y proporcionadas para gestionar los riesgos que afecten a la seguridad de las redes y sistemas de información utilizados para la prestación de sus servicios.
  • En el caso de los operadores de servicios esenciales, además deberán aprobar unas políticas de seguridad de las redes y sistemas de información, atendiendo a los principios de seguridad integral, gestión de riesgos, prevención, respuesta y recuperación, líneas de defensa, reevaluación periódica y segregación de tareas.
  • Las medidas adoptadas se formalizarán en un documento denominado Declaración de Aplicabilidad de medidas de seguridad, que será suscrito por el responsable de seguridad de la información, se incluirán en la política de seguridad que apruebe la dirección de la organización y deberán remitirse a la autoridad competente respectiva en el plazo de seis meses desde la designación del operador.
  • Todas las medidas deberán tomar como referencia lo establecido en el anexo II del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, en la medida en que sean aplicables, y se basarán, cuando sea posible, en otros esquemas nacionales de seguridad existentes e incluso podrán tenerse en cuenta otros estándares reconocidos internacionalmente. Además, se complementarán con las que, en su caso, establezcan con carácter específico las autoridades competentes.
  • Los operadores de servicios esenciales deberán designar un responsable de la seguridad de la información que actuará como punto de contacto con la autoridad competente en materia de supervisión de los requisitos de seguridad de las redes y sistemas de información, y como punto de contacto especializado para la coordinación de la gestión de los incidentes con el CSIRT de referencia (Computer Security Incident Response Team o Equipo de Respuesta ante Incidencias de Seguridad Informáticas).

Supervisión del cumplimiento de las obligaciones de seguridad de los operadores de servicios esenciales y de los proveedores de servicios digitales

Las autoridades competentes supervisarán en su ámbito de actuación el cumplimiento de las obligaciones de seguridad y de notificación de incidentes que sean de aplicación a los operadores de servicios esenciales y a los proveedores de servicios digitales quienes deberán colaborar en dicha supervisión, facilitando las actuaciones de inspección, proporcionando toda la información que a tal efecto se les requiera, y aplicando las instrucciones dictadas, en su caso, para la subsanación de las deficiencias observadas.

El cumplimiento de las obligaciones de seguridad en las redes y sistemas de información podrá ser acreditado mediante la certificación en un esquema de seguridad que, previa consulta al CSIRT de referencia, sea reconocido por la autoridad competente.

Las autoridades competentes, que son las reconocidas en el artículo 9 del Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información, podrán realizar las actuaciones inspectoras que sean precisas para el ejercicio de su función de control que, apoyadas por los CSIRT de referencia, consistirán en:

  • Controlar el cumplimiento de las normas e instrucciones técnicas que, en su caso, resulten aplicables a los operadores sujetos a su supervisión.
  • Verificar el cumplimiento de las funciones del responsable de seguridad de la información designado por los operadores de servicios esenciales.
  • Realizar las comprobaciones, inspecciones, pruebas y revisiones necesarias para verificar el cumplimiento de las medidas de seguridad, en particular, la política de seguridad de los operadores de servicios esenciales y la Declaración de aplicabilidad de medidas de seguridad.

Asimismo, cuando se trate de operadores con incidencia en la Defensa Nacional, el ESPDEF-CERT del Mando Conjunto del Ciberespacio como órgano de ciberdefensa militar en el ámbito nacional e internacional, podrá colaborar en la supervisión con la autoridad competente.

En el caso de los proveedores de servicios digitales la supervisión se llevará a cabo de manera coordinada con las autoridades competentes correspondientes de los Estados miembros de la Unión Europea donde dichos proveedores presten servicios o tengan su establecimiento principal en la Unión.

Gestión de incidentes de seguridad

Los operadores de servicios esenciales y los proveedores de servicios digitales deberán gestionar y resolver los incidentes de seguridad que afecten a las redes y sistemas de información utilizados para la prestación de sus servicios. En el caso de redes y sistemas que no sean propios los operadores deberán tomar las medidas necesarias para garantizar que dichas acciones se lleven a cabo por los proveedores externos.

Esta obligación alcanza tanto a los incidentes detectados por el propio operador o proveedor como a los que les señalen el CSIRT de referencia o la autoridad competente, cuando tengan conocimiento de alguna circunstancia que haga sospechar de la existencia de un incidente.

Los incidentes que puedan tener efectos perturbadores significativos en dichos servicios, es decir aquellos con un nivel de impacto crítico alto o muy alto, serán notificados a la autoridad competente a través del CSIRT de referencia. Asimismo, también se deberán notificar los sucesos o incidencias que, por su nivel de peligrosidad, puedan afectar a las redes y sistemas de información empleados para la prestación de los servicios esenciales, aun cuando no hayan tenido todavía un efecto adverso real sobre aquellos.

En cuanto al procedimiento de notificación de incidentes, los CSIRT de referencia garantizarán un intercambio fluido de información con las autoridades competentes que correspondan, asegurando el adecuado seguimiento durante la gestión, así como el acceso a la información empleada en las distintas fases que componen la gestión de incidentes. Por su parte, los operadores de servicios esenciales realizarán las notificaciones a través del responsable de la seguridad de la información designado.

La Plataforma Nacional de Notificación y Seguimiento de Ciberincidentes, puesta a disposición de todos los actores involucrados permitirá el intercambio de información y el seguimiento de incidentes entre los operadores de servicios esenciales o proveedores de servicios digitales, las autoridades competentes y los CSIRT de referencia de manera segura y confiable, sin perjuicio de los requisitos específicos que apliquen en materia de protección de datos de carácter personal.

BOE:
Source: Actualidad normativa

RSS
Facebook
Twitter
Instagram