Ciberseguretat i RD 43/2021 – Pla CISO Assessor

La ciberseguretat, essencial en 2021

Acompanyem la teva empresa en la seva adaptació al Reial Decret 43/2021 amb el Pla CISO Assessor

T’expliquem quines són les obligacions de l’RD 43/2021, un abans i un després per a la ciberseguretat de moltes empreses, i com afrontar-les amb la major comoditat i seguretat per a la teva activitat empresarial.

Ciberseguretat i RD 43/2021 – Pla CISO Assessor

Obligacions de l’RD 43/2021

T’expliquem els canvis introduïts amb aquest Reial Decret i les empreses a les quals afecta.

Què t’oferim a Edorteam

Un servei d’acompanyament al teu CISO per al correcte desenvolupament de les seves funcions.

Què és el Reial Decret 43/2021?

És un Reial Decret aprovat el 27 de gener de 2021, pel qual es desenvolupa el Reial Decret-llei 12/2018, de 7 de setembre, de seguretat de les xarxes i sistemes d’informació.

Amb aquest Reial Decret es vol acabar amb les polítiques de ciberseguretat insuficients que encara avui presenten moltes empreses, com a sistemes operatius obsolets, programari sense llicència i una falta absoluta de control d’accessos i monitoratge de l’activitat.

Això sumat al creixement exponencial dels ciberatacs que s’estan succeint durant el darrer any, motivats per la situació pandèmica i l’auge del teletreball, han provocat l’entrada en vigor d’aquesta normativa i uns terminis molt ajustats per aplicar-la.

Es considera que empreses de serveis essencials com energètiques, salut, gestió de residus o alimentació, han de reduir al màxim els seus riscos de patir una ciberincidència que paralitzi la seva activitat laboral, d’aquí la nova llei.

Quines empreses estan obligades a complir l’RD 43/2021?

D’acord amb el que estableix l’article 2 de l’RD 43/2021, les organitzacions obligades es divideixen en dos grans grups:

Operadors de Serveis Essencials

Empreses que pertanyen a sectors denominats com Infraestructura Crítica per La Directiva (UE) 2016/1148 de Parlament Europeu i de Consell, de 6 de juliol de 2016 (coneguda com a Directiva NIS).

Els sectors d’Infraestructura Crítica proporcionen els serveis necessaris per al manteniment de les funcions socials bàsiques: salut, seguretat, benestar social i econòmic dels ciutadans, així com l’eficaç funcionament de les institucions de l’Estat i les Administracions Públiques.

A la Llei 8/2011, de 28 d’abril, per la qual s’estableixen mesures per a la protecció de les infraestructures crítiques, s’estableixen quins són aquests sectors d’activitat:

N

Administració

N

Aigua

N

Alimentació

N

Energia

N

Espai Exterior

N

Indústria Nuclear

N

Indústria Química

N

Indústria de Recerca

N

Sanitat

N

Sistema Financer i Tributari

N

Tecnologies de la Informació i les Comunicacions (TIC)

N

Transport

Proveïdors de Serveis Digitals

Dins d’aquest segon grup, estan exemptes les petites empreses o microempreses (menys de 50 treballadors o menys de 10 milions d’euros de facturació anual).

N

Mercats en línia

Plataformes de venda de productes i/o serveis de tercers.
N

Motors de cerca en línia

N

Serveis al núvol

Quines són les obligacions de l’RD 43/2021?

Designar el responsable de seguretat de la Informació o CISO (Chief Information Security Officer)

Aquesta figura pot ser una persona, entitat o òrgan col·legiat, i es declararà al Ministeri corresponent (segons sector de l’empresa) com a màxim el 27 abril 2021. La figura professional del CISO té diverses responsabilitats dins de l’empresa i per tant hauria de ser un perfil amb altes capacitats, aquí t’expliquem com hauria de ser el CISO de la teva empresa.

Reial Decret 43/2021 obligacions en ciberseguretat

Un CISO exerceix com a punt de contacte amb l’autoritat competent i supervisa que l’empresa compleix amb els requisits de ciberseguretat establerts.

Elaborar la Declaració de Aplicabilitat

D’acord amb el que estableix l’article 6 de l’RD 43/2021, el CISO ha de realitzar un document anomenat Declaració de Aplicabilitat de les mesures de seguretat de l’empresa. A grans trets, ha d’incloure:

  • Anàlisi de l’ estat actual de la ciberseguretat de l’empresa per tal d’identificar mancances i riscos.
  • reflectir les deficiències detectades i com es pretenen solucionar.
  • Desenvolupar un pla de seguiment per verificar que aquestes deficiències s’acabin solucionant.
  • establir plans per a la detecció, gestió, recuperació i assegurament de la continuïtat de les operacions en cas de ciberincident.

Signar i presentar la Declaració de Aplicabilitat

La Declaració d’Aplicabilitat ha de ser signada pel CISO i aprovada per l’empresa. Finalment, s’ha de presentar a l’autoritat competent com a molt tard el 27 juliol 2021.

A més, la Declaració d’Aplicabilitat serà revisable com a mínim cada 3 anys.

Necessites assessoria personalitzada?

Explica'ns les necessitats tecnològiques del teu negoci. Et trucarem i proposarem una solució ajustada als seus objectius i realitat empresarial.

Edorteam, un valuós suport per al teu CISO

Amb el nostre Pla CISO Assessor, acompanyem a la teva empresa en la seva adaptació a l’RD 43/2021. La figura del CISO requereix d’altes capacitats i comporta importants responsabilitats. Confia en Edorteam per guiar i fer costat al CISO de la teva empresa:

U

Anàlisi de situació

  • Analitzem l’estat actual de la ciberseguretat de l’empresa.
  • Identifiquem possibles riscos i amenaces.
  • Assessorem a la direcció per designar al CISO de l’empresa.

Definició d'objectius

  • Treballem colze a colze amb el CISO en l’elaboració d’un Pla de Ciberseguretat per a l’empresa.
  • Definim els objectius estratègics a assolir en matèria de ciberseguretat i com solucionar-los.

Accions de millora

  • En cas de necessitar solucions software per millorar la ciberseguretat de l’empresa, ens encarreguem de la seva implantació en tots els equips informàtics.
  • Formem en el seu ús als teus professionals, promovent unes bones pràctiques en ciberseguretat.

Suport i seguiment

  • Assessorem al teu CISO en la presentació de la Declaració d’Aplicabilitat.
  • Supervisem l’eficàcia de les mesures aplicades.
  • Mantindrem contacte directe per a resoldre incidents tècnics o de seguretat digital.
Servei CISO Assessor per a empreses i RD 43/2021

A Edorteam disposes alhora d’un departament legal i un departament informàtic especialista en solucions de ciberseguretat.

El servei és integral: no sols identifiquem les millores a realitzar, també ens encarreguem de la seva implantació a l’empresa.

Les claus de l’RD 43/2021 en format e-book

Tot sobre el Reial Decret 43/2021 de seguretat de les xarxes i sistemes de la informació.

Descarrega el nostre e-book i descobreix quines mesures has d’aplicar i si ets una empresa afectada.

Quines són les funcions de l’CISO?

Visita el nostre bloc per aprendre més sobre quin tipus de perfil professional pot realitzar les funcions del CISO.

¿Pot ser algú extern a l’empresa? És una figura temporal? Descobreix-ho aquí.