El Responsable de Seguridad de la Informaci贸n – RSI/CISO en los operadores de servicios esenciales. RD 43/2021 que desarrolla el RD-l 12/2018 (seguimos con el paquete NIS)

Spread the love

El聽Bolet铆n Oficial del Estado (BOE)聽publica el聽Real Decreto 43/2021, de 26 de enero, por el que se desarrolla el聽Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de informaci贸n. El texto completa la incorporaci贸n del 聽la聽Directiva (UE) 2016/1148聽del Parlamento Europeo y聽 del Consejo relativa a las medidas destinadas a garantizar un elevado nivel com煤n de seguridad de las redes y sistemas de informaci贸n de la Uni贸n Europea, conocida como聽Directiva NIS聽(Security of Network and Insformation Systems)

Cabanas, 2016

Recu茅rdese que a聽 finales del a帽o 2018, la transposici贸n de la citada Directiva NIS se llev贸 al ordenamiento jur铆dico espa帽ol mediante el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de informaci贸n. que聽 regula la seguridad de las redes y sistemas de informaci贸n utilizados para la provisi贸n de los servicios esenciales y los servicios digitales, estableciendo mecanismos que, con una perspectiva integral, permiten mejorar la protecci贸n frente a las amenazas que afectan a las redes y sistemas de informaci贸n, y fija un marco institucional de cooperaci贸n que facilita la coordinaci贸n de las actuaciones realizadas en esta materia tanto a nivel nacional como con los pa铆ses de nuestro entorno, en particular, dentro de la Uni贸n Europea

En esta ocasi贸n, el聽Real Decreto 43/2021, de 26 de enero, que publica el聽BOE, establece como 谩mbito de aplicaci贸n la prestaci贸n de los servicios esenciales dependientes de las redes y sistemas de informaci贸n comprendidos en los sectores estrat茅gicos definidos en el anexo de la聽Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protecci贸n de las infraestructuras cr铆ticas. Pero tambi茅n la prestaci贸n de聽servicios digitales que sean mercados en l铆nea, motores de b煤squeda en l铆nea y servicios de computaci贸n en nube.

En el art铆culo 2.2. RD contempla que est谩 sometidos a este nuevo Real Decreto 芦los operadores de servicios esenciales establecidos en Espa帽a. En coherencia con lo ya expresado respecto de NIS, se entender谩 que un operador de servicios esenciales est谩 establecido en Espa帽a cuando su residencia o domicilio social se encuentren en territorio espa帽ol, siempre que estos coincidan con el lugar en que est茅 efectivamente centralizada la gesti贸n administrativa y la direcci贸n de sus negocios o actividades. As铆 mismo, este real decreto ser谩 de aplicaci贸n a los servicios esenciales que los operadores residentes o domiciliados en otro Estado ofrezcan a trav茅s de un establecimiento permanente situado en Espa帽a.禄聽Tambi茅n 芦los proveedores de servicios digitales que tengan su sede social en Espa帽a聽y que constituya su establecimiento principal en la Uni贸n Europea, as铆 como los que, no estando establecidos en la Uni贸n Europea, designen en Espa帽a a su representante en la Uni贸n para el cumplimiento de la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel com煤n de seguridad de las redes y sistemas de informaci贸n en la Uni贸n.禄

Por contra, este Real Decreto no se aplica, seg煤n establece el art铆culo 2.3, a 芦los operadores de redes y servicios de comunicaciones electr贸nicas y los prestadores de servicios electr贸nicos de confianza que聽no sean designados como operadores cr铆ticos en virtud de la Ley 8/2011, de 28 de abril.禄. Tampoco a 芦los proveedores de servicios digitales cuando se trate de microempresas o peque帽as empresas, de acuerdo con las definiciones recogidas en la Recomendaci贸n 2003/361/CE de la Comisi贸n, de 6 de mayo de 2003, sobre la definici贸n de microempresas, peque帽as y medianas empresas.

Sanabria

Cabe destacar que en dicho Real Decreto:

  1. se establecen los requisitos de seguridad, as铆 como聽las medidas para el cumplimiento de las obligaciones de seguridad,
  2. contempla en el plano normativo al responsable de la seguridad de la informaci贸n o RSI, el CISO, que ve铆amos desarrollado en normas o est谩ndares privados como ISO.
  3. se ocupa de la gesti贸n de incidentes de seguridad
  4. detalla las obligaciones de notificaci贸n聽de los incidentes de los operadores de servicios esenciales: 芦Los operadores de servicios esenciales notificar谩n a la autoridad competente respectiva, a trav茅s del CSIRT de referencia, los incidentes que puedan tener efectos perturbadores significativos en dichos servicios, consider谩ndose a tal efecto los incidentes con un nivel de impacto cr铆tico, muy alto o alto, seg煤n el detalle que se especifica en el apartado 4 de la Instrucci贸n nacional de notificaci贸n y gesti贸n de ciberincidentes, que se contiene en el anexo de este real decreto. Asimismo, notificar谩n los sucesos o incidencias que, por su nivel de peligrosidad, puedan afectar a las redes y sistemas de informaci贸n empleados para la prestaci贸n de los servicios esenciales, aun cuando no hayan tenido todav铆a un efecto adverso real sobre aquellos. A estos efectos, se considerar谩n los incidentes con un nivel de peligrosidad cr铆tico, muy alto o alto, seg煤n el detalle que se especifica en el apartado 3 de la citada Instrucci贸n芦, reza el art铆culo 9.1 de este RD.

El RSI o CISO (para OSE)

En relaci贸n con el Responsable de Seguridad de la Informaci贸n, el art铆culo 7聽 del RD 43/2021 insta a que esta figura mantenga 芦una comunicaci贸n real y efectiva con la alta direcci贸n禄. Adem谩s, se帽ala que su posici贸n debe 芦facilitar el desarrollo de sus funciones, participando de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la seguridad禄. Esta figura, ya sea una persona, unidad u 贸rgano colegiado, deber谩 contar con medios personales y materiales para desarrollar su funci贸n. Ejercer谩 de punto de contacto y coordinaci贸n t茅cnica con la autoridad competente y el CSIRT de referencia. El art 7 es de aplicaci贸n 煤nicamente a los OSE

Entre las funciones del RSI/CISO est谩 el聽 elaborar las pol铆ticas de seguridad y proponerlas para su aprobaci贸n por la organizaci贸n. Estas pol铆ticas han de incluir las medidas t茅cnicas y organizativas para聽gestionar los riesgos que se planteen para la seguridad de las redes y sistemas de informaci贸n utilizados. Y, para prevenir y reducir al m铆nimo los efectos de los ciberincidentes

Se reproduce a continuaci贸n el art 7 del RD 43/2021:

Art铆culo 7. Responsable de la seguridad de la informaci贸n.

  1. Los operadores de servicios esenciales designar谩n una persona, unidad u 贸rgano colegiado, responsable de la seguridad de la informaci贸n que ejercer谩 las funciones de punto de contacto y coordinaci贸n t茅cnica con la autoridad competente y CSIRT de referencia que le corresponda de conformidad con lo previsto en el apartado tercero. En el supuesto de que el responsable de seguridad de la informaci贸n sea una unidad u 贸rgano colegiado, se deber谩 designar una persona f铆sica representante, as铆 como un sustituto de este que asumir谩 sus funciones en casos de ausencia, vacante o enfermedad. El plazo para llevar a cabo dicha designaci贸n ser谩 de tres meses desde su designaci贸n como operador de servicios esenciales.
  2. Los operadores de servicios esenciales comunicar谩n a la autoridad competente respectiva la designaci贸n del responsable de la seguridad de la informaci贸n dentro del plazo establecido en el apartado anterior, as铆 como los nombramientos y ceses que afecten a la designaci贸n del responsable de la seguridad de la informaci贸n en el plazo de un mes desde que aquellos se produzcan.
  3. El responsable de la seguridad de la informaci贸n actuar谩 como punto de contacto con la autoridad competente en materia de supervisi贸n de los requisitos de seguridad de las redes y sistemas de informaci贸n, y como punto de contacto especializado para la coordinaci贸n de la gesti贸n de los incidentes con el CSIRT de referencia. Se desarrollar谩n bajo su responsabilidad, entre otras, las siguientes funciones:

a) Elaborar y proponer para aprobaci贸n por la organizaci贸n, de conformidad con lo establecido en el art铆culo 6.2 de este real decreto, las pol铆ticas de seguridad, que incluir谩n las medidas t茅cnicas y organizativas, adecuadas y proporcionadas, para gestionar los riesgos que se planteen para la seguridad de las redes y sistemas de informaci贸n utilizados y para prevenir y reducir al m铆nimo los efectos de los ciberincidentes que afecten a la organizaci贸n y los servicios, de conformidad con lo dispuesto en el art铆culo 6.

b) Supervisar y desarrollar la aplicaci贸n de las pol铆ticas de seguridad, normativas y procedimientos derivados de la organizaci贸n, supervisar su efectividad y llevar a cabo controles peri贸dicos de seguridad.

c) Elaborar el documento de Declaraci贸n de Aplicabilidad de medidas de seguridad considerado en el art铆culo 6.3 p谩rrafo segundo de este real decreto.

d) Actuar como capacitador de buenas pr谩cticas en seguridad de las redes y sistemas de informaci贸n, tanto en aspectos f铆sicos como l贸gicos.

e) Remitir a la autoridad competente, a trav茅s del CSIRT de referencia y sin dilaci贸n indebida, las notificaciones de incidentes que tengan efectos perturbadores en la prestaci贸n de los servicios a los que se refiere el art铆culo 19.1 del Real Decreto-ley 12/2018, de 7 de septiembre.

f) Recibir, interpretar y supervisar la aplicaci贸n de las instrucciones y gu铆as emanadas de la autoridad competente, tanto para la operativa habitual como para la subsanaci贸n de las deficiencias observadas.

g) Recopilar, preparar y suministrar informaci贸n o documentaci贸n a la autoridad competente o el CSIRT de referencia, a su solicitud o por propia iniciativa. El responsable de la seguridad de la informaci贸n, para desarrollar estas funciones, se podr谩 apoyar en servicios prestados por terceros.

4. Los operadores de servicios esenciales garantizar谩n que el responsable de la seguridad de la informaci贸n cumpla con los siguientes requisitos:

a) Contar con personal con conocimientos especializados y experiencia en materia de ciberseguridad, desde los puntos de vista organizativo, t茅cnico y jur铆dico, adecuados al desempe帽o de las funciones indicadas en el apartado anterior.

b) Contar con los recursos necesarios para el desarrollo de dichas funciones.

c) Ostentar una posici贸n en la organizaci贸n que facilite el desarrollo de sus funciones, participando de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la seguridad, y manteniendo una comunicaci贸n real y efectiva con la alta direcci贸n.

d) Mantener la debida independencia respecto de los responsables de las redes y los sistemas de informaci贸n.

5. Siempre que concurran los requisitos de conocimiento, experiencia, independencia y, en su caso, titulaci贸n, las funciones y responsabilidades encomendadas al responsable de la seguridad de la informaci贸n podr谩n compatibilizarse con las se帽aladas para el Responsable de Seguridad聽 del Esquema Nacional de Seguridad,聽 a lo que dedicamos la siguiente entrada de este blog