El desarrollo del Real Decreto-Ley 12/2018, de seguridad de las redes y sistemas de información

El pasado 27 de enero entró en vigor el Real Decreto 43/2021 por el que se desarrolla el Real Decreto-Ley 12/2018, de seguridad de las redes y sistemas de información. Las empresas afectadas serán los Operadores de Servicios Esenciales (entendiendo por servicios esenciales cualquier servicio necesario para el mantenimiento de las funciones sociales básicas, la salud, la seguridad, el bienestar social y económico de los ciudadanos, o el eficaz funcionamiento de las Instituciones del Estado y las Administraciones Públicas) así como Proveedores de Servicios Digitales, ya sean mercados en línea, motores de búsqueda y servicios de computación en nube.

El RD 43/2021 se constituye como la principal norma referida a cuestiones de ciberseguridad, en el derecho español conforme a la Directiva 2016/1148 (más conocida como Directiva NIS).

Con esta normativa se quiere acabar con las políticas de ciberseguridad insuficientes que todavía encontramos en muchas empresas y que ha motivado el aumento exponencial de los ciberataques durante el último año, que han aprovechado el auge del teletrabajo y del comercio electrónico. Es decir, con esta norma se quieren impulsar iniciativas para que las empresas de servicios esenciales y proveedores de servicios digitales alcancen un nivel de ciberseguridad adecuado.

Obligaciones principales 

En primer lugar, la obligación de designar un Responsable de Seguridad de la Información también llamado CISO (por sus siglas en inglés). Esta persona será el punto de contacto con la autoridad competente y supervisará que la empresa cumple con los requisitos de ciberseguridad que exige la normativa. Las empresas tienen 3 meses para nombrar a su Responsable de Seguridad ante el Ministerio correspondiente (según sector de actividad) y dotarle de los medios necesarios para llevar a cabo sus funciones. Es decir, el plazo acaba en abril de 2021. La Ley exige que sea un responsable de la empresa con firma y poder de decisión, sin que sea un perfil necesariamente técnico si deberá tener conocimientos mínimos en ciberseguridad.

En segundo lugar, la empresa deberá realizar un documento denominado Declaración de Aplicabilidad de las medidas de seguridad (artículo 6 del RD 43/2021) dónde se analizarán las medidas de ciberseguridad que tiene actualmente la empresa, se reflejarán las deficiencias detectadas y cómo se pretenden solucionar, incluyendo un plan de seguimiento para verificar que se consigan los requisitos mínimos. La Declaración de Aplicabilidad debe ser presentada y firmada por el Responsable de Seguridad en un plazo de 6 meses, es decir, en julio de 2021. Además, será revisable como mínimo cada 3 años.

Por último, encontramos la obligación general de notificación y gestión de incidentes de seguridad ante la autoridad correspondiente, en virtud del artículo 3 del RD. Dicha notificación será llevada a cabo por el Responsable de Seguridad de la Información, siendo el responsable último ante un incidente.