EL DESARROLLO DEL MARCO LEGAL DE CIBERSEGURIDAD EN ESPAÑA

El pasado mes de enero se publicó el real decreto RD 43/2021 que desarrolla la conocida “Ley NIS” de seguridad de las redes y sistemas de información, y supone un antes y un después en el marco regulador de la ciberseguridad en España. Esta ley implica la obligación a las empresas implicadas de tener un responsable de seguridad.

De momento la nueva norma afecta directamente a las grandes empresas y a la Administración, pero todavía no afecta a las pymes.

Esto es un gran hito puesto que este RD nos da herramientas jurídicas para ayudarnos en nuestro trabajo ,ya que introduce la exigencia de la creación de la figura del Responsable de Seguridad de la Información (RSI) con responsabilidad legal ante la autoridad reguladora, es decir, obliga a tener la figura de CISO (Chief Security Information Officer) como la persona experta en la protección de la información de las organizaciones” ) tal y como comentan distintas  plataformas empresariales como El economista o jurídicas como “Cuatrecasasy que va ser responsable de tomar decisiones que pueden generar efectos jurídicos vinculantes frente a terceros y frente a las autoridades competentes

La norma establece la obligatoriedad entre otras cosas a:

  1. Elaborar y proponer para aprobación las políticas de seguridad, así como la correspondiente Declaración de Aplicabilidad;
  2. Supervisar y desarrollar la aplicación de las medidas técnicas y organizativas definidas en las citadas políticas de seguridad
  3. Remitir a la autoridad competente las notificaciones de incidentes;
  4. Supervisar la aplicación de las instrucciones y guías emanadas de la autoridad competente.

Esto incluiría acciones como:

  • Análisis y gestión de riesgos.
  • Gestión de riesgos de terceros o proveedores.
  • Catálogo de medidas de seguridad, organizativas, tecnológicas y físicas.
  • Adquisición de productos o servicios de seguridad.
  • Detección y gestión de incidentes.
  • Planes de recuperación y aseguramiento de la continuidad de las operaciones.
  • Registro de la actividad de los usuarios.

Cabe destacar que ya se está trabajando en la creación de una Plataforma Nacional de Notificación y Seguimiento de Ciberincidentes, gestionada por el Centro Criptográfico Nacional junto con el Instituto Nacional de Ciberseguridad y el Mando Conjunto de Ciberdefensa.

Su entrada en vigor impone adaptar y preparar a las empresas al nuevo marco normativo ya que, en caso contrario, se podrían derivar responsabilidades.

En SEVEN SECTOR TECHNOLOGIES como empresa colaboradora de INCIBE, te ayudamos tanto en la externalización del servicio, como en la adecuación de la figura del CISO en tu plantilla existente.

Si necesitas cualquier información, puedes contactar con nosotros a través de este formulario.

También puedes visitar nuestra página de Servicios, donde establecemos como base para la adecuación a este Real Decreto, la Estrategia en Ciberseguridad para empresas.