¿Qué es la Declaración de Aplicabilidad? Preséntala antes del 27/07/21

El 27 de julio de 2021 es la fecha límite para que las empresas afectadas por el Real Decreto 43/2021 presenten su Declaración de Aplicabilidad ante el Ministerio correspondiente según su sector de actividad.

Desde principios de año hemos informado sobre el RD 43/2021 y las nuevas obligaciones que comporta para muchas empresas en la gobernanza de su ciberseguridad. En publicaciones anteriores encontrarás toda la información al respecto:

• Importantes cambios en la ciberseguridad de las empresas: Real Decreto 43/2021
• ¿Cuáles son las funciones del Responsable de Seguridad de la Información o CISO?
• ¿A qué empresas afecta el Real Decreto 43/2021?

¿Qué es la Declaración de Aplicabilidad?

Tras la primera fecha límite, el 27 de abril de 2021, las empresas obligadas primero tuvieron que declarar a su Responsable de Seguridad de la Información (CISO) ante las autoridades. Ahora, 27 de julio, llega el momento de presentar la Declaración de Aplicabilidad, un documento donde se detallan las protocolos de ciberseguridad y medidas de contingencia y continuidad que ha implantado la empresa con el objetivo de evitar o minimizar los ciberincidentes. En el documento también se deben hacer constar posibles deficiencias detectadas durante la fase de análisis, si es que las había, y de qué manera se han solucionado o se pretenden solucionar en un plazo de tiempo determinado.

¿Qué contenido incluye la Declaración de Aplicabilidad?

Estos son los apartados que debe incluir la Declaración de Aplicabilidad:

• Análisis y gestión de riesgos.
• Gestión de riesgos de terceros o proveedores.
• Catálogo de medidas de seguridad, organizativas, tecnológicas y físicas.
• Gestión del personal y profesionalidad.
• Adquisición de productos o servicios de seguridad.
• Detección y gestión de incidentes.
• Planes para la recuperación y aseguramiento de la continuidad de las operaciones.
• Mejora continua.
• Interconexión de sistemas.
• Registro de la actividad de los usuarios.

Este documento debe realizarlo y firmarlo el CISO de la empresa, de ahí las 2 fechas límite con un margen de 3 meses entre sí. En Edorteam, durante este período, hemos trabajado con nuestros clientes y sus CISO para preparar sus Declaraciones de Aplicabilidad conforme dicta el reglamento y presentarlas dentro de plazo.

Con el Plan CISO Asesor, nos ocupamos de todos los trámites ante el Ministerio y de preparar la Declaración de Aplicabilidad, garantizando como siempre que tu empresa cumplirá con la ley. Si acabas de descubrir sobre el RD 43/2021 y crees que podrías ser una empresa afectada, ¡no te preocupes! Contacta con nosotros para agilizar al máximo todo el proceso y presentar tu Declaración de Aplicabilidad lo antes posible. Incumplir el plazo no significa sanción automática, pero a partir del 27 de julio una empresa obligada será sancionada de no haber presentado la Declaración de Aplicabilidad.

10 puntos clave para realizar correctamente la Declaración de Aplicabilidad (ENS)

El Centro Criptológico Nacional, en su publicación Declaración de Aplicabilidad en el ENS (Perfil de Cumplimiento), incluye 10 recomendaciones para la redacción de dicho documento. Las hemos recopilado a continuación:

Valorar, en primer lugar, los activos esenciales (de los tipos “Información” y “Servicio”).

Para valorar los activos, determinar el nivel de seguridad por cada una de las dimensiones: confidencialidad [C], integridad [I], disponibilidad [D], autenticidad [A] y trazabilidad [T]. Dicho nivel se determinará en función de las consecuencias de un incidente de seguridad sobre alguna de las dimensiones.

Si el activo esencial es del tipo “Servicio”, se recomienda valorar en primer lugar la dimensión de disponibilidad [D], pues los requisitos en materia de confidencialidad, integridad, autenticidad y trazabilidad suelen venir heredados por la valoración de los activos del tipo “Información”.

Establecer la categoría del sistema (BÁSICA, MEDIA o ALTA) en función de los niveles de seguridad asignados a las distintas dimensiones, teniendo en cuenta que la asignación de una categoría al sistema requiere fijar el nivel de madurez de las medidas que resulten de aplicación y que la categoría del sistema será el mayor de los niveles de seguridad asignados.

Seleccionar las medidas que aplican al sistema en función de su categoría, de un total de 40 medidas.

Seleccionar las medidas que aplican al sistema en función de sus niveles de seguridad, de un total de 35 medidas.

Emplear el simulador elaborado por el CCN-CERT, que determina la Declaración de Aplicabilidad de forma automática, introduciendo los niveles de seguridad para cada una de las dimensiones del activo.

Indicar de forma detallada la correspondencia entre las medidas compensatorias implementadas y las medidas del Anexo II que compensan. El conjunto será objeto de la aprobación formal por parte del Responsable de Seguridad.

En caso de que en la Declaración de Aplicabilidad se incluya alguna medida compensatoria, detallar, por cada una de ellas, los siguientes parámetros: ámbito de aplicación, limitaciones o restricciones, objetivo, riesgo identificado, definición de la compensatoria, validación de la medida compensatoria y mantenimiento. El contenido de dichos parámetros es recogido en la guía CCN-STIC-819 Medidas Compensatorias.

Para la redacción del documento de la Declaración de Aplicabilidad, hacer uso de la plantilla elaborada por el CCN-CERT y tener en cuenta los perfiles de cumplimiento validados por el CCN en las correspondientes guías CCN-STIC.

¿Te parece complicado? No te preocupes, te ayudamos

Edorteam seremos un valioso apoyo para tu Responsable de Seguridad ayudándole en su formación y nuevas funciones. Contamos con el departamento de IT, que analizará la seguridad digital de tu empresa y realizará la Declaración de Aplicabilidad. A su vez, nuestro equipo legal supervisará todo el proceso garantizando pleno cumplimiento legal.

Cuenta con nosotros para guiarte en este proceso no solo porque te obligue la ley, también para actualizar y reforzar la ciberseguridad de tu empresa.