Ciberseguridad y RD 43/2021 – Plan CISO Asesor

La ciberseguridad, esencial en 2021

Acompañamos a tu empresa en su adaptación al Real Decreto 43/2021 con el Plan CISO Asesor

Te explicamos cuáles son las obligaciones del RD 43/2021, un antes y un después para ciberseguridad de muchas empresas, y cómo afrontarlas con la mayor comodidad y seguridad para tu actividad empresarial.

Ciberseguridad y RD 43/2021 – Plan CISO Asesor

Obligaciones del RD 43/2021

Te explicamos los cambios introducidos con este Real Decreto y las empresas a las que afecta.

Qué te ofrecemos en Edorteam

Un servicio de acompañamiento a tu CISO para el correcto desarrollo de sus funciones.

¿Qué es el Real Decreto 43/2021?

Es un Real Decreto aprobado el 27 de enero de 2021, por el que se desarrolla el Real Decreto-Ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información.

Con este Real Decreto se quiere acabar con las políticas de ciberseguridad insuficientes que todavía hoy presentan muchas empresas, como sistemas operativos obsoletos, software sin licencia y una falta absoluta de control de accesos y monitorización de la actividad.

Esto sumado al crecimiento exponencial de los ciberataques que se están sucediendo durante el último año, motivados por la situación pandémica y el auge del teletrabajo, han provocado la entrada en vigor de esta normativa y los plazos de tiempo ajustados para aplicarla.

Se considera que empresas de servicios esenciales como energéticas, salud, gestión de residuos o alimentación, deben reducir al máximo sus riesgos de sufrir una ciberincidencia que paralice su actividad laboral, de ahí la nueva ley.

¿Qué empresas están obligadas a cumplir el RD 43/2021?

Conforme a lo establecido en el artículo 2 del RD 43/2021, las organizaciones obligadas se dividen en dos grandes grupos:

Operadores de Servicios Esenciales

Empresas que pertenecen a sectores denominados como Infraestructura Crítica por La Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016 (conocida como Directiva NIS).

Los sectores de Infraestructura Crítica proporcionan los servicios necesarios para el mantenimiento de las funciones sociales básicas: salud, seguridad, bienestar social y económico de los ciudadanos, o eficaz funcionamiento de las instituciones del Estado y las Administraciones Públicas.

En la Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas, se establecen cuáles son estos sectores de actividad:

N

Administración

N

Agua

N

Alimentación

N

Energía

N

Espacio Exterior

N

Industria Nuclear

N

Industria Química

N

Industria de Investigación

N

Sanidad

N

Sistema Financiero y Tributario

N

Tecnologías de la Información y las Comunicaciones (TIC)

N

Transporte

Proveedores de Servicios Digitales

Dentro de este segundo grupo, están exentas las pequeñas empresas o microempresas (menos de 50 trabajadores o menos de 10 millones de euros de facturación anual).

N

Mercados en línea

Plataformas de venta de productos y/o servicios de terceros.
N

Motores de búsqueda en línea

N

Servicios en la nube

¿Cuáles son las obligaciones del RD 43/2021?

Designar al Responsable de Seguridad de la Información o CISO (Chief Information Security Officer)

Esta figura puede ser una persona, entidad u órgano colegiado, y se nombrará ante el Ministerio correspondiente (según sector de la empresa) como máximo el 27 de abril de 2021. La figura profesional del CISO tiene varias responsabilidades dentro de la empresa y por tanto debería ser un perfil con altas capacidades, aquí te explicamos cómo debería ser el CISO de tu empresa.

Real Decreto 43/2021 obligaciones en ciberseguridad

Un CISO ejerce como punto de contacto con la autoridad competente y supervisa que la empresa cumple con los requisitos de ciberseguridad establecidos.

Elaborar la Declaración de Aplicabilidad

Conforme a lo establecido en el artículo 6 del RD 43/2021, el CISO debe realizar un documento denominado Declaración de Aplicabilidad de las medidas de seguridad de la empresa. A grandes rasgos, debe incluir:

  • Análisis del estado actual de la ciberseguridad de la empresa con el fin de identificar carencias y riesgos.
  • Reflejar las deficiencias detectadas y cómo se pretenden solucionar.
  • Desarrollar un plan de seguimiento para verificar que estas deficiencias se acaben subsanando.
  • Establecer planes para la detección, gestión, recuperación y aseguramiento de la continuidad de las operaciones en caso de ciberincidente.

Firmar y presentar la Declaración de Aplicabilidad

La Declaración de Aplicabilidad debe ser firmada por el CISO y aprobada por la empresa. Finalmente, se presentará ante la autoridad competente como muy tarde el 27 de julio de 2021.

Además, la Declaración de Aplicabilidad será revisable como mínimo cada 3 años.

¿Necesitas asesoría IT personalizada para tu empresa?

Explícanos las necesidades tecnológicas de tu negocio. Te llamaremos y propondremos una solución ajustada a sus objetivos y realidad empresarial.

Edorteam, un valioso apoyo para tu CISO

Con nuestro Plan CISO Asesor, acompañamos a tu empresa en su adaptación al RD 43/2021. La figura del CISO requiere de altas capacidades y conlleva importantes responsabilidades. Confía en Edorteam para guiar y acompañar al CISO de tu empresa:

U

Análisis de situación

  • Analizamos el estado actual de la ciberseguridad de la empresa.
  • Identificamos posibles riesgos y amenazas.
  • Asesoramos a la dirección para designar al CISO de la empresa.

Definición de objetivos

  • Trabajamos codo con codo con el CISO en la elaboración de un Plan de Ciberseguridad para la empresa.
  • Definimos los objetivos estratégicos a alcanzar en materia de ciberseguridad y cómo solucionarlos.

Acciones de mejora

  • En caso de necesitar soluciones software para mejorar la ciberseguridad de la empresa, nos encargamos de su implantación en todos los equipos informáticos.
  • Formamos en su uso a tus profesionales, promoviendo unas buenas prácticas en ciberseguridad.

Apoyo y seguimiento

  • Asesoramos a tu CISO en la presentación de la Declaración de Aplicabilidad.
  • Supervisamos la eficacia de las medidas aplicadas.
  • Mantendremos contacto directo para resolver incidentes técnicos o de seguridad digital.
Servicio CISO Asesor para empresas y RD 43/2021

En Edorteam cuentas a la vez con un departamento legal y un departamento informático especialista en soluciones de ciberseguridad.

El servicio es integral: no solo identificamos las mejoras a realizar, también nos encargamos de su implantación en la empresa.

Las claves del RD 43/2021 en formato e-book

Todo sobre el Real Decreto 43/2021 de seguridad de las redes y sistemas de la información.

Descarga nuestro e-book y descubre qué medidas debes aplicar y si eres una empresa afectada.

¿Cuáles son las funciones del CISO?

Visita nuestro blog para aprender más sobre qué tipo de perfil profesional puede realizar las funciones del CISO.

¿Puede ser alguien externo a la empresa? ¿Es una figura temporal? Descúbrelo aquí.