Nueva Ley NIS sobre ciberseguridad

Nueva Ley NIS sobre ciberseguridad

 en la sección ¿Sabías que...?, Seguridad
0

La importancia de la ciberseguridad es cada vez más relevante en nuestro entorno diario, más concretamente en el ámbito de lo laboral. Es por ello que se hace necesaria una regulación para poder establecer un marco legal en materia de ciberseguridad. El pasado 28 de enero entró en vigor el Real Decreto 43/2021. Norma en la cuál se desarrolla la denominada “Ley NIS”.

Antecedentes para la creación de la Ley NIS en ciberseguridad

Para ponernos en antecedentes, la aprobación de este nuevo Real Decreto 43/2021 se realiza como el desarrollo del marco normativo con respecto a ciberseguridad establecido en el Real Decreto-Ley 12/2018. Este último, es la traducción al Ordenamiento Jurídico español de lo impuesto por la Directiva NIS (Security of Network and Information Systems).

La Directiva NIS proporciona un enfoque global en materia de seguridad de las redes y sistemas de información. En este planteamiento, se establecen los requisitos comunes en el marco europeo.

A continuación, te contamos cuáles son las novedades en ciberseguridad que incorpora la Ley NIS.

Novedades en Ciberseguridad de la Ley NIS

Cuando hablamos de las principales novedades que podemos encontrar en el nuevo Decreto Ley 43/2021, destacamos:

1. Políticas de Seguridad

Se debe establecer unas políticas de seguridad de redes y sistemas. Estas políticas tienen que tener en cuenta tanto la empresa y sus características como el sector de la actividad y las especificaciones de la misma. Se deben incluir en estas políticas:

  • El análisis y gestión de los riesgos
  • La gestión de incidentes
  • Los planes de recuperación y aseguramiento de la continuidad

Además de la creación de estas nuevas políticas, se deben revisar las políticas y los protocolos ya existentes. De esta forma, se asegurará un correcto cumplimiento de la norma.

Un factor importante a tener en cuenta derivado de la nueva ley NIS son los plazos establecidos para la toma de medidas. Las políticas de seguridad deben estar recogidas en una Declaración de Aplicabilidad. La cual debe entregarse a la autoridad competente en un plazo de seis meses.

Por otro lado, se debe establecer una política y un protocolo de notificación de incidentes a la autoridad competente.

2. Obligaciones a terceros

Una de las novedades más relevantes que se incluyen en este nuevo precepto legal es la de las obligaciones de terceros. De esta forma, se garantiza que los proveedores externos queden regulados en su actuación. Esto se dará tanto cuando las redes o sistemas de información sean suyos o las gestionen ellos. 

A su vez, se establece un marco regulatorio sobre las compañías con respecto a sus proveedores en materia de redes y sistemas. Para ello, será necesario adaptar las cláusulas contractuales respecto a los productos y servicios procedentes de terceros.

3. Responsable de Seguridad

Se establece un nuevo estatuto jurídico para CISO (Chief Information Security Officer) que es el principal Responsable de Seguridad de la Información dentro de cada empresa.

El nombramiento del CISO se llevará a cabo en el plazo de tres meses y se le debe dotar de los medios necesarios para cumplir con la regulación establecida por el Real Decreto.

Algunas de las funciones de esta figura son:

  • Ser un punto de contacto único y de coordinación con las autoridades competentes para la evaluación de las medidas de seguridad y la comunicación de posibles incidentes.
  • Elaboración de las políticas de seguridad de la compañía.
  • Supervisión y revisión de las políticas y medidas de seguridad.
  • Elaboración de la Declaración de Aplicabilidad que incluyen las medidas de seguridad.

4. Medidas de Seguridad

Se deben establecer medidas de seguridad adecuadas y proporcionales en las redes y sistemas de información siguiendo el Esquema Nacional de Seguridad (ENS) y otros estándares de seguridad reconocidos internacionalmente.

De esta forma, se coordinarán las actuaciones en materia de ciberseguridad y protección de datos en consonancia con la convergencia entre las dos regulaciones establecidas por el Real Decreto. 

5. Certificado de Cumplimiento

La autoridad competente debe reconocer la certificación de un esquema de seguridad que sea válido para la empresa. Si esta está siendo revisada, podría solicitarse un Informe de Auditoría presentado por una entidad externa e independiente a la compañía.

Estas nuevas obligaciones en materia de ciberseguridad se hacen imprescindibles dada la falta de regulación en este ámbito. Con esta regulación se ofrecen las herramientas para alcanzar un adecuado nivel de ciberseguridad para cada empresa.

El carácter de inmediatez hace referencia a los breves plazos marcados por esta nueva regulación legal. Todo ello, hace necesario la adaptación de las empresas para el cumplimiento normativo vigente ya que podrían derivar en responsabilidades.

, , ,
Artículos recomendados
establecer gestionar contrasenas de manera segura
Cómo establecer y gestionar tus contraseñas de manera seguraSeguridad, Tips
vishing
Vishing, ¿cómo protegerse de las llamadas fraudulentas?Seguridad, Tips
trazado 9434
Resumen de Cookies

En cumplimiento de la Ley 34/2002 de Servicios de la Sociedad de la Información y Comercio Electrónico le informamos de la utilización de cookies en las webs y aplicaciones de la empresa con el fin de facilitar y mejorar la navegación a los usuarios, recordando por donde navegó en el sitio web, las preferencias y las configuraciones de visualización.

Recuerde que antes de empezar a utilizar cualquiera de nuestros servicios o funcionalidades, deberá leer en esta Política de Cookies y la Política de Privacidad, así como el Aviso Legal. En dichas secciones podrá ver si se requiere un tratamiento específico de sus datos personales.

  1. ¿Qué es una cookie?

Una cookie es un pequeño archivo que se descarga y almacena en su ordenador al acceder a determinadas páginas web. Las cookies permiten a una página web, entre otras cosas, almacenar y recuperar información sobre la navegación de un usuario o de su equipo, esta información se asocia al navegador permitiendo identificar al usuario de manera anónima, por lo que son esenciales para el funcionamiento de Internet, aportando ventajas para la prestación de servicios interactivos, facilitándole la navegación al guardar sus preferencias y la usabilidad de nuestra web. Tenga en cuenta que las cookies no pueden dañar su equipo y que a cambio el que estén activadas nos ayudan a identificar y resolver los errores.

Aquellos usuarios que no deseen la instalación de cookies o quieran ser informados antes de que se almacenen en su ordenador, pueden configurar su navegador a tal efecto.

  1. Tipos de cookies

Según quien sea la entidad que gestione el dominio desde donde se envían las cookies y trate los datos que se obtengan se pueden distinguir dos tipos:

  • Cookies propias: Son aquellas que se envían a tu equipo desde nuestros propios equipos o dominios y desde el que prestamos el servicio que nos solicitas.
  • Cookies de terceros: Son aquellas que se envían a tu equipo desde un equipo o dominio que no es gestionado por nosotros, sino por otra entidad colaboradora. Como, por ejemplo, las usadas por redes sociales, o por contenido externo como Google Maps.

Existe también una segunda clasificación según el plazo de tiempo que permanecen almacenadas en el navegador del cliente, pudiendo tratarse de:

  • Cookies de sesión: Son cookies temporales que permanecen en el archivo de cookies de tu navegador hasta que abandonas la página web, por lo que ninguna queda registrada en el disco duro de tu ordenador. La información obtenida por medio de estas cookies, sirven para analizar pautas de tráfico en la web. A la larga, esto nos permite proporcionar una mejor experiencia para mejorar el contenido y facilitar su uso
  • Cookies persistentes: Son almacenadas en el disco duro y nuestra web las lee cada vez que realizas una nueva visita. Una web permanente posee una fecha de expiración determinada. La cookie dejará de funcionar después de esa fecha. Estas cookies las utilizamos, generalmente, para facilitar los servicios de compra y registro.

Por último, existe otra clasificación con cinco tipos de cookies según la finalidad para la que se traten los datos obtenidos:

  • Cookies técnicas: Son aquellas necesarias para la navegación y el buen funcionamiento de nuestra página web. Permite, por ejemplo, controlar el tráfico y la comunicación de datos, acceder a partes de acceso restringido, realizar el proceso de compra de un pedido, utilizar elementos de seguridad, almacenar contenidos para poder difundir vídeos o compartir contenidos a través de redes sociales.
  • Cookies de personalización: Son aquéllas que te permiten acceder al servicio con unas características predefinidas en función de una serie de criterios, como por ejemplo el idioma, el tipo de navegador a través del cual se accede al servicio, la configuración regional desde donde se accede al servicio, etc.
  • Cookies analíticas: Son aquéllas que nos permiten cuantificar el número de usuarios y así realizar la medición y análisis estadístico de la utilización que hacen los usuarios de los servicios prestados. Para ello se analiza su navegación en nuestra página web con el fin de mejorar la oferta de productos y servicios que ofrecemos
  • Cookies publicitarias: Son aquéllas que permiten la gestión, de la forma más eficaz posible, de los espacios publicitarios que se pudieran incluir en nuestra página web.
  • Cookies de publicidad comportamental: Estas cookies almacenan información del comportamiento de los usuarios obtenida a través de la observación continuada. Gracias a ellas, podemos conocer los hábitos de navegación en internet y mostrarte publicidad relacionada con tu perfil de navegación.