Reglamento Seguridad de las Redes y Sistemas de la Información

Normativa:


R.D. 43/2021, de 26 de enero, por el que se desarrolla el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información.

¿A quién afecta?

Afecta a los operadores y proveedores de servicios esenciales con actividad en España.
Quedan excluidos los operadores de redes y servicios de comunicaciones electrónicas y los prestadores de servicios electrónicos de confianza que no sean designados como operadores críticos. Los proveedores de servicios digitales cuando se trate de microempresas o pequeñas empresas.

¿Autoridades competentes?

Las autoridades competentes en ciberseguridad serán, las recogidas en la Ley NIS (las secretarías de Estado de Seguridad, Defensa y para el Avance Digital a través de diferentes órganos). También designa autoridades competentes para los operadores privados de servicios esenciales que no sean críticos. El reglamento NIS señala los organismos responsables para los sectores de transporte, energía, TIC, sistema financiero, espacio, industria química, instalaciones de investigación, salud, agua, alimentación e industria nuclear.

 ¿Notificaciones de incidentes de ciberseguridad?

Uno de los aspectos importantes del Reglamento es el establecimiento de un sistema de cooperación y coordinación entre los CSIRT (equipos de respuesta a incidentes de seguridad) de referencia. La norma crea la Plataforma Nacional de Notificación y Seguimiento de Ciber-incidentes, que permitirá el intercambio de información y el seguimiento de incidentes entre los operadores de servicios esenciales o proveedores de servicios digitales, las autoridades competentes y los CSIRT de referencia.

 ¿Punto de contacto único?

El Departamento de Seguridad Nacional es el punto de contacto único para ejercer de enlace entre autoridades competentes nacionales y de la Unión Europea, el Grupo de Cooperación Europeo y la red de CRSIT. en los servicios esenciales.

¿Responsable de Seguridad de la Información?

Uno aspecto destacado es la función que desempeña el CISO. Los operadores de servicios esenciales tendrán que designar a una persona como responsable de la seguridad de la información para que ejerza las funciones de punto de contacto y coordinación con las autoridades competentes y CSIRT de referencia. El Reglamento recoge asimismo el procedimiento de gestión de incidentes de seguridad, el proceso de notificación a través de la Plataforma Nacional de Notificación y Seguimiento de Ciber-incidentes, así como el mecanismo de supervisión de cumplimiento de obligaciones de seguridad y notificación de incidentes.