Asociación de Telecomunicaciones de Andalucía

Obligaciones de la nueva normativa de ciberseguridad


Fecha de publicación:
/

Obligaciones del Real Decreto 43/2021para operadores de servicios esenciales y prestadores de servicios digitales.

El Real Decreto 43/2021, de 26 de enero, desarrolla el Real Decreto-Ley 12/2018 de seguridad en las redes y sistemas de información para adaptarlo a la directiva NIS ( Security of Network and Information Systems ) de la Unión Europea sobre ciberseguridad.

Es importante remarcar que esta norma, si bien afecta directamente a todos los operadores de telecomunicación como prestadores de servicios esenciales, sin embargo no es de aplicación obligatoria para pequeñas y microempresas.

Dado que afecta directamente a nuestro sector, en este artículo os hacemos un resumen de su contenido y de las obligaciones principales que se deben alcanzar para poder cumplir la legislación, y evidentemente evitar el riesgo de sanción.

1.- Definir una política de seguridad de redes y sistemas adaptada a la empresa . Certificaciones como la ISO27K, NOS ( Esquema Nacional de Seguridad ), etc, cumplen sobradamente, pero también podemos aprovechar todos los procesos, políticas y documentación generados para cumplir con la LOPDGDD (Ley 3/2018 de Protección de datos Personales y garantía de los derechos digitales), para ampliarlos y adecuarlos a esta nueva normativa, sin necesitar de certificarnos. Basta de ensanchar el alcance de la misma a cualquier tipo de información, y no sólo datos personales, y actuar en consecuencia.

2.- Preparar la Declaración de Aplicabilidad para ser entregada a la autoridad competente  antes de julio de este año . Una vez más, el SOA ( Statement of Applicability ) de la ISO 27K o la Declaración de Aplicabilidad de la ENS nos van como anillo al dedo, pero si no las tenemos, las podemos tomar como modelo para hacer una de más sencilla o adecuada a nuestras necesidades.

3.- Establecer una política de riesgos respecto a proveedores externos.  Estos aspectos también están contemplados en las certificaciones anteriores, y si tenemos la LOPD, tendremos que ampliar el alcance, ya que ésta sólo afecta a los proveedores externos que tratan datos personales, y por lo tanto habrá que redactar documentación específica, aunque los contratos firmados por la LOPD serán válidos, pero probablemente no suficientes.

4.- Establecer una política y un protocolo de notificación de incidencias a la autoridad competente . En este punto, las obligaciones de la LOPD sobre notificaciones de brechas de seguridad son plenamente válidas, sólo hay que ensanchar el alcance a cualquier tipo de dato y sobre las autoridades a notificar.

5.- Nombrar un CISO ( Chief Information Security Officer )  antes de abril de 2021 y establecer un estatuto jurídico para este cargo que recoja las responsabilidades y funciones. Es importante señalar que el CISO se puede externalizar, para todas aquellas empresas que a pesar de estar obligadas a cumplir el real Decreto, no tienen capacidad suficiente para contratar nuevo personal, y no pueden cargar el personal actual con más tareas y responsabilidades.

Este es un breve resumen que espero haya sido de utilidad. En cualquier caso, a Fecha Riesgo, como entidad colaboradora de ATELAN, estamos a su disposición para asesorarle sobre la mejor manera de acometer la adecuación de su empresa a la nueva normativa de ciberseguridad.

Artículo elaborado por

Josep Puy y Campàs
Director de Data Riesgo
Asesoría y seguridad Informática, SL


Utilizamos cookies propias y de terceros para optimizar y analizar la navegación de nuestros usuarios. Si no se opone y sigue navegando a través de nuestra web, entendemos que consiente que las usemos para estos fines. Más información

Los ajustes de cookies de esta web están configurados para «permitir cookies» y así ofrecerte la mejor experiencia de navegación posible. Si sigues utilizando esta web sin cambiar tus ajustes de cookies o haces clic en «Aceptar» estarás dando tu consentimiento a esto.

Cerrar