Importantes cambios en la ciberseguridad de las empresas: Real Decreto 43/2021

Blog

Actualidad sobre ciberseguridad, protección de datos y soluciones de software.

Importantes cambios en la ciberseguridad de las empresas: Real Decreto 43/2021

20 Feb, 21

El 27 de enero entró en vigor el Real Decreto 43/2021 por el que se desarrolla el Real Decreto-Ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información. La aprobación de esta normativa supone un hito para la ciberseguridad de las empresas porque establece importantes cambios para un gran número de empresas afectadas: Servicios Esenciales y Prestadores de Servicios Digitales.

Con este RD se quiere acabar con las políticas de ciberseguridad insuficientes que todavía encontramos en muchas empresas, y está motivado por el crecimiento exponencial de los ciberataques a durante el último año, aprovechando la situación pandémica, y el auge del teletrabajo y el comercio electrónico. Estos cambios deben llevarse a cabo en unos plazos de tiempo muy breves y tienen un alto impacto en la gobernanza de la ciberseguridad de las empresas.

Dicho de otra manera, con esta norma se quieren impulsar iniciativas para que las empresas de servicios esenciales alcancen un nivel de ciberseguridad adecuado.

Estas son las principales obligaciones derivadas del Real Decreto 43/2021: 

Las empresas obligadas designarán a una persona, entidad u órgano colegiado como Responsable de Seguridad de la Información o CISO (Chief Information Security Officer). Esta figura ejercerá como punto de contacto con la autoridad competente y supervisará que la empresa cumple con los requisitos de ciberseguridad que exige la normativa.

En un futuro post hablaremos de sus funciones en detalle, pero es importante saber que las empresas tienen 3 meses para nombrar a su Responsable de Seguridad ante el Ministerio correspondiente (según sector de actividad) y dotarle de los medios necesarios para llevar a cabo sus funciones. Es decir, el plazo acaba en abril de 2021.

Tras la designación del Responsable de Seguridad, la empresa deberá realizar un documento denominado Declaración de Aplicabilidad de las medidas de seguridad que adoptará la empresa (artículo 6 del RD 43/2021).

A grandes rasgos, en este documento se analizarán las medidas de ciberseguridad que tiene actualmente la empresa y se reflejarán las deficiencias detectadas y cómo se pretenden solucionar, incluyendo un plan de seguimiento para que verificar que se consigan los requisitos mínimos.

Estos son los apartados que debe incluir la Declaración de Aplicabilidad:

  • Análisis y gestión de riesgos.
  • Gestión de riesgos de terceros o proveedores.
  • Catálogo de medidas de seguridad, organizativas, tecnológicas y físicas.
  • Gestión del personal y profesionalidad.
  • Adquisición de productos o servicios de seguridad.
  • Detección y gestión de incidentes.
  • Planes para la recuperación y aseguramiento de la continuidad de las operaciones.
  • Mejora continua.
  • Interconexión de sistemas.
  • Registro de la actividad de los usuarios.

La Declaración de Aplicabilidad debe ser presentada y firmada por el Responsable de Seguridad en un plazo de 6 meses, es decir, en julio de 2021. Además, será revisable como mínimo cada 3 años.

 

 

En Edorteam te acompañamos en la adaptación de tu empresa a la normativa

Tienes a tu disposición nuestro equipo de abogados y especialistas en cumplimiento jurídico, y también a nuestros consultores y técnicos especialistas en ciberseguridad. Cuenta con nosotros para ayudar a tu Responsable de Seguridad a detectar y solucionar los problemas de seguridad digital que pueda sufrir tu empresa, contacta con nosotros.

 

¿Qué empresas están obligadas a cumplir con el RD 43/2021?

Entendemos como operadores de servicios esenciales definidos en estas dos leyes:

  • Ley 17/2015, de 9 de julio, del Sistema Nacional de Protección Civil. A los efectos de esta ley se entenderá por servicios esenciales: los servicios necesarios para el mantenimiento de las funciones sociales básicas, la salud, la seguridad, el bienestar social y económico de los ciudadanos, o el eficaz funcionamiento de las instituciones del Estado y las Administraciones Públicas.
  • Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas. A efectos de la presente Ley, se entenderá por servicio esencial el servicio necesario para el mantenimiento de las funciones sociales básicas, la salud, la seguridad, el bienestar social y económico de los ciudadanos, o el eficaz funcionamiento de las Instituciones del Estado y las Administraciones Públicas.

Así pues, las empresas tanto públicas como privadas obligadas a designar a un Responsable de Seguridad y a presentar la Declaración de Aplicabilidad son:

Empresas de energía

Subsector (electricidad, agua, gas, crudo): comercializadoras y distribuidoras de energía eléctrica, empresas de comercializadores y distribuidores de gas, empresas de servicio tanto municipal de subministra miento de agua, empresas privadas de suministros de agua potable, petroquímicas.

Empresas de transporte

Subsector aéreo, ferroviario, transporte marítimo o fluvial, transporte por carreteras (todas aquellas empresas que realicen transporte de mercancías mediante camiones).

Empresas de producción, distribución y venta de alimentación

Grandes superficies de venta de productos alimentarios (cadenas de supermercados, hipermercados, industrias agroalimentarias, cooperativas; pequeñas y medianas empresas de producción, empresas distribuidoras de alimentación que dispongan de grandes almacenes) y empresas horticultura (viveros grandes).

Empresas de fabricación de aceites, grasas animales y vegetales, productos lácteos y bebidas.

Entidades de salud e investigación

Hospitales (tanto públicos como privados).

Clínicas de cirugía estética, dentales, de análisis clínicos, de rehabilitación, oftalmología, clínicas de reproducción asistida (no aplicable a pequeñas consultas con un solo profesional).

Empresas suministradoras de material médico, quirúrgico, ortopédico

Geriátricos, centros de día.

Mutuas de accidentes laborales y trabajo y enfermedades de profesionales de la Seguridad Social.

Empresas de investigación.

Banca y mercados financieros

Todas las entidades bancarias y de crédito.

Brókers, empresas de recobro de crédito, empresas que ofrecen líneas de crédito, empresas de gestiones de cartera, empresas de asesoramiento financiero y empresas de inversiones extrajeras, registradas en Registro Oficial de ESI.

Algunas empresas industriales

Industria química: proveedores y productores de sustancias, fabricación de productos químicos básicos, compuestos nitrogenados, fertilizantes, plásticos, caucho sintético, fabricación de los productos farmacéuticos, especialidades farmacéuticas; fabricación de pesticidas y otros productores agroquímicos; fabricación jabones, colonias y cosmética.

Industria de confección de textil, excepto prendas de vestir: fabricación de telas (excepto prendas de vestir), productos textiles de uso técnico e industrial, confección ropa de trabajo; fabricación pinturas y barnices; fabricación de envases y embalajes de plástico; etc.

Empresas de tratamiento de residuos

Especialmente de aguas residuales.

Proveedores de servicios digitales

Proveedores de motores de búsqueda en línea.

Proveedores de mercados en línea.

Proveedores de servicios de computación en la nube.

 

Si tu empresa se encuentra en una de estas categorías, el reloj ya está en marcha y hay mucho trabajo por hacer. En Edorteam cuentas a la vez con un departamento legal y departamento informático especialista en soluciones de ciberseguridad. Nuestro objetivo es ofrecerte una adaptación fácil y eficaz al RD 43/2021.

Contacta ahora con nosotros y pongámonos manos a la obra.

0 comentarios

Enviar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Otras publicaciones recientes