El 27 de enero entró en vigor el Real Decreto 43/2021 por el que se desarrolla el Real Decreto-Ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información. La aprobación de esta normativa supone un hito para la ciberseguridad de las empresas porque establece importantes cambios para un gran número de empresas afectadas: Servicios Esenciales y Prestadores de Servicios Digitales.
Con este RD se quiere acabar con las políticas de ciberseguridad insuficientes que todavía encontramos en muchas empresas, y está motivado por el crecimiento exponencial de los ciberataques a durante el último año, aprovechando la situación pandémica, y el auge del teletrabajo y el comercio electrónico. Estos cambios deben llevarse a cabo en unos plazos de tiempo muy breves y tienen un alto impacto en la gobernanza de la ciberseguridad de las empresas.
Dicho de otra manera, con esta norma se quieren impulsar iniciativas para que las empresas de servicios esenciales alcancen un nivel de ciberseguridad adecuado.
Estas son las principales obligaciones derivadas del Real Decreto 43/2021:
Las empresas obligadas designarán a una persona, entidad u órgano colegiado como Responsable de Seguridad de la Información o CISO (Chief Information Security Officer). Esta figura ejercerá como punto de contacto con la autoridad competente y supervisará que la empresa cumple con los requisitos de ciberseguridad que exige la normativa.
En un futuro post hablaremos de sus funciones en detalle, pero es importante saber que las empresas tienen 3 meses para nombrar a su Responsable de Seguridad ante el Ministerio correspondiente (según sector de actividad) y dotarle de los medios necesarios para llevar a cabo sus funciones. Es decir, el plazo acaba en abril de 2021.
Tras la designación del Responsable de Seguridad, la empresa deberá realizar un documento denominado Declaración de Aplicabilidad de las medidas de seguridad que adoptará la empresa (artículo 6 del RD 43/2021).
A grandes rasgos, en este documento se analizarán las medidas de ciberseguridad que tiene actualmente la empresa y se reflejarán las deficiencias detectadas y cómo se pretenden solucionar, incluyendo un plan de seguimiento para que verificar que se consigan los requisitos mínimos.
Estos son los apartados que debe incluir la Declaración de Aplicabilidad:
- Análisis y gestión de riesgos.
- Gestión de riesgos de terceros o proveedores.
- Catálogo de medidas de seguridad, organizativas, tecnológicas y físicas.
- Gestión del personal y profesionalidad.
- Adquisición de productos o servicios de seguridad.
- Detección y gestión de incidentes.
- Planes para la recuperación y aseguramiento de la continuidad de las operaciones.
- Mejora continua.
- Interconexión de sistemas.
- Registro de la actividad de los usuarios.
La Declaración de Aplicabilidad debe ser presentada y firmada por el Responsable de Seguridad en un plazo de 6 meses, es decir, en julio de 2021. Además, será revisable como mínimo cada 3 años.
En Edorteam te acompañamos en la adaptación de tu empresa a la normativa
Tienes a tu disposición nuestro equipo de abogados y especialistas en cumplimiento jurídico, y también a nuestros consultores y técnicos especialistas en ciberseguridad. Cuenta con nosotros para ayudar a tu Responsable de Seguridad a detectar y solucionar los problemas de seguridad digital que pueda sufrir tu empresa, contacta con nosotros.
Edorteam, un valioso apoyo para tu CISO
Acompañamos a tu empresa en su adaptación al Real Decreto 43/2021 con el Plan CISO Asesor, consúltanos sin compromiso.
¿Qué empresas están obligadas a cumplir con el RD 43/2021?
Entendemos como operadores de servicios esenciales definidos en estas dos leyes:
- Ley 17/2015, de 9 de julio, del Sistema Nacional de Protección Civil. A los efectos de esta ley se entenderá por servicios esenciales: los servicios necesarios para el mantenimiento de las funciones sociales básicas, la salud, la seguridad, el bienestar social y económico de los ciudadanos, o el eficaz funcionamiento de las instituciones del Estado y las Administraciones Públicas.
- Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas. A efectos de la presente Ley, se entenderá por servicio esencial el servicio necesario para el mantenimiento de las funciones sociales básicas, la salud, la seguridad, el bienestar social y económico de los ciudadanos, o el eficaz funcionamiento de las Instituciones del Estado y las Administraciones Públicas.
Energía e industria nuclear
Algunos ejemplos son:
Comercializadoras y distribuidoras de energía eléctrica, empresas de comercializadores y distribuidores de gas, empresas de servicio tanto municipal de subministramiento de agua, empresas privadas de suministros de agua potable, petroquímicas…
Industria
Industria química, como por ejemplo: proveedores y productores de sustancias, fabricación de productos químicos básicos, compuestos nitrogenados, fertilizantes, plásticos, caucho sintético, fabricación de los productos farmacéuticos, especialidades farmacéuticas; fabricación de pesticidas y otros productores agroquímicos; fabricación jabones, colonias, cosmética…
Industria de confección de textil (excepto prendas de vestir) como por ejemplo: fabricación de telas (excepto prendas de vestir), productos textiles de uso técnico e industrial, confección ropa de trabajo; fabricación pinturas y barnices; fabricación de envases, embalajes de plástico…
Transporte
Algunos ejemplos son:
Subsector aéreo, ferroviario, transporte marítimo o fluvial, transporte por carreteras…
Agua
Como por ejemplo, tratamiento de aguas residuales.
Producción, distribución y venta de alimentación
Algunos ejemplos son:
Grandes superficies de venta de productos alimentarios (cadenas de supermercados, hipermercados, industrias agroalimentarias, cooperativas; pequeñas y medianas empresas de producción, empresas distribuidoras de alimentación que dispongan de grandes almacenes) y empresas horticultura (viveros grandes)…
Empresas de fabricación de aceites, grasas animales y vegetales, productos lácteos, bebidas…
Sanidad e industria de investigación
Algunos ejemplos son:
Hospitales (tanto públicos como privados).
Clínicas de cirugía estética, dentales, de análisis clínicos, de rehabilitación, oftalmología, clínicas de reproducción asistida (no aplicable a pequeñas consultas con un solo profesional).
Empresas suministradoras de material médico, quirúrgico, ortopédico
Geriátricos, centros de día.
Mutuas de accidentes laborales y trabajo y enfermedades de profesionales de la Seguridad Social.
Empresas de investigación.
Sistema financiero y tributario
Todas las entidades bancarias y de crédito.
Otros ejemplos son: brókers, empresas de recobro de crédito, empresas que ofrecen líneas de crédito, empresas de gestiones de cartera, empresas de asesoramiento financiero, empresas de inversiones extrajeras (registradas en Registro Oficial de ESI)…
Proveedores de servicios digitales
En concreto:
- Motores de búsqueda en línea.
- Mercados en línea (plataformas de venta de productos y/o servicios de terceros).
- Servicios en la nube.
Dentro de este grupo, están exentas las pequeñas empresas o microempresas (menos de 50 trabajadores o menos de 10 millones de euros de facturación anual).
Si tu empresa se encuentra en una de estas categorías, el reloj ya está en marcha y hay mucho trabajo por hacer. En Edorteam cuentas a la vez con un departamento legal y departamento informático especialista en soluciones de ciberseguridad. Nuestro objetivo es ofrecerte una adaptación fácil y eficaz al RD 43/2021.
¡Interesante tema! Creo que todas las empresas deberían estar al tanto y cumplir con esta normativa.
¡Totalmente de acuerdo contigo! Lamentablemente, muchas empresas siguen ignorando estas normativas importantes. Es hora de que se responsabilicen de sus acciones y cumplan con lo que se les exige. ¡Esperemos que la conciencia empresarial mejore pronto!
¿Creen que Edorteam realmente puede facilitar el cumplimiento del RD 43/2021? Opiniones?
No lo creo. Edorteam es solo una herramienta más en un mar de soluciones. El cumplimiento del RD 43/2021 requiere un enfoque integral y personalizado, no hay atajos. Investiguen todas las opciones antes de confiar ciegamente en una plataforma. ¡No se dejen engañar!
¿Crees que Edorteam es la mejor opción para cumplir con el RD 43/2021? Opiniones?
¡El Real Decreto 43/2021 trae cambios interesantes! ¿Qué opinas de la adaptación de las empresas?
¡Creo que las empresas siempre deben adaptarse para sobrevivir! Si no están dispuestas a cambiar, se quedarán atrás. ¡Es hora de evolucionar o desaparecer! ¡El Real Decreto 43/2021 es solo el comienzo! ¿Estás listo para el desafío?