+34 954 29 81 93 info@iwan21.net

La importancia de la ciberseguridad es cada vez más relevante en nuestro entorno diario, más concretamente en el ámbito de lo laboral. Es por ello que se hace necesaria una regulación para poder establecer un marco legal en materia de ciberseguridad. El pasado 28 de enero entró en vigor el Real Decreto 43/2021. Norma en la cuál se desarrolla la denominada “Ley NIS”.

Antecedentes para la creación de la Ley NIS en ciberseguridad

Para ponernos en antecedentes, la aprobación de este nuevo Real Decreto 43/2021 se realiza como el desarrollo del marco normativo con respecto a ciberseguridad establecido en el Real Decreto-Ley 12/2018. Este último, es la traducción al Ordenamiento Jurídico español de lo impuesto por la Directiva NIS (Security of Network and Information Systems).

La Directiva NIS proporciona un enfoque global en materia de seguridad de las redes y sistemas de información. En este planteamiento, se establecen los requisitos comunes en el marco europeo.

A continuación, te contamos cuáles son las novedades en ciberseguridad que incorpora la Ley NIS.

Novedades en Ciberseguridad de la Ley NIS

Cuando hablamos de las principales novedades que podemos encontrar en el nuevo Decreto Ley 43/2021, destacamos:

1. Políticas de Seguridad

Se debe establecer unas políticas de seguridad de redes y sistemas. Estas políticas tienen que tener en cuenta tanto la empresa y sus características como el sector de la actividad y las especificaciones de la misma. Se deben incluir en estas políticas:

  • El análisis y gestión de los riesgos
  • La gestión de incidentes
  • Los planes de recuperación y aseguramiento de la continuidad

Además de la creación de estas nuevas políticas, se deben revisar las políticas y los protocolos ya existentes. De esta forma, se asegurará un correcto cumplimiento de la norma.

Un factor importante a tener en cuenta derivado de la nueva ley NIS son los plazos establecidos para la toma de medidas. Las políticas de seguridad deben estar recogidas en una Declaración de Aplicabilidad. La cual debe entregarse a la autoridad competente en un plazo de seis meses.

Por otro lado, se debe establecer una política y un protocolo de notificación de incidentes a la autoridad competente.

2. Obligaciones a terceros

Una de las novedades más relevantes que se incluyen en este nuevo precepto legal es la de las obligaciones de terceros. De esta forma, se garantiza que los proveedores externos queden regulados en su actuación. Esto se dará tanto cuando las redes o sistemas de información sean suyos o las gestionen ellos. 

A su vez, se establece un marco regulatorio sobre las compañías con respecto a sus proveedores en materia de redes y sistemas. Para ello, será necesario adaptar las cláusulas contractuales respecto a los productos y servicios procedentes de terceros.

3. Responsable de Seguridad

Se establece un nuevo estatuto jurídico para CISO (Chief Information Security Officer) que es el principal Responsable de Seguridad de la Información dentro de cada empresa.

El nombramiento del CISO se llevará a cabo en el plazo de tres meses y se le debe dotar de los medios necesarios para cumplir con la regulación establecida por el Real Decreto.

Algunas de las funciones de esta figura son:

  • Ser un punto de contacto único y de coordinación con las autoridades competentes para la evaluación de las medidas de seguridad y la comunicación de posibles incidentes.
  • Elaboración de las políticas de seguridad de la compañía.
  • Supervisión y revisión de las políticas y medidas de seguridad.
  • Elaboración de la Declaración de Aplicabilidad que incluyen las medidas de seguridad.

4. Medidas de Seguridad

Se deben establecer medidas de seguridad adecuadas y proporcionales en las redes y sistemas de información siguiendo el Esquema Nacional de Seguridad (ENS) y otros estándares de seguridad reconocidos internacionalmente.

De esta forma, se coordinarán las actuaciones en materia de ciberseguridad y protección de datos en consonancia con la convergencia entre las dos regulaciones establecidas por el Real Decreto. 

5. Certificado de Cumplimiento

La autoridad competente debe reconocer la certificación de un esquema de seguridad que sea válido para la empresa. Si esta está siendo revisada, podría solicitarse un Informe de Auditoría presentado por una entidad externa e independiente a la compañía.

Estas nuevas obligaciones en materia de ciberseguridad se hacen imprescindibles dada la falta de regulación en este ámbito. Con esta regulación se ofrecen las herramientas para alcanzar un adecuado nivel de ciberseguridad para cada empresa.

El carácter de inmediatez hace referencia a los breves plazos marcados por esta nueva regulación legal. Todo ello, hace necesario la adaptación de las empresas para el cumplimiento normativo vigente ya que podrían derivar en responsabilidades.