Tras la aprobación del RD 43/2021 en el mes de enero, algunas empresas han estado obligadas a presentar la Declaración de Aplicabilidad.

Se trata del Real Decreto 43/2021, de 26 de enero, por el que se desarrolla el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información, del que hablaremos en un próximo apartado.

Las empresas afectadas, las que llevan a cabo Servicios Esenciales y Prestadores de Servicios Digitales, tenían dos fechas límite:

  • 27 de abril 2021, para designar al Responsable de Seguridad de la Información o CISO (del inglés, Chief Information Security Officer).
  • 27 de julio de 2021, para firmar y presentar la Declaración de Aplicabilidad.

¿Qué ha pasado? Muchas de las empresas obligadas no han llegado a tiempo, tanto por el periodo de tiempo establecido como por las dudas acerca de si su empresa tenía o no que cumplir.

Cabe mencionar, que las empresas que tuvieran implantado el Esquema Nacional de Seguridad (ENS) o estuvieran certificados bajo la norma ISO 27001 de Sistemas de Gestión de Seguridad de la Información, cumplirían en gran parte con el Real Decreto.

Únicamente, tendrían que elaborar un procedimiento específico para para la Gestión de Incidentes de Seguridad, según los requerimientos que se incluyen en en los anexos del RD 43/2021, en cuanto a:

  • Su tipificación.
  • La priorización.
  • Los plazos.
  • La comunicación a las autoridades competentes.

Si te quedas leyendo este artículo, te resolveremos todas las dudas acerca de este Real Decreto y de la obligación de elaborar y presentar la Declaración de Aplicabilidad.

Real Decreto 43/2021 sobre seguridad de las redes y sistemas de información

Fue publicado el 28 de enero de 2021, entrando el vigor justo al día siguiente, y desarrolla el Real Decreto-ley 12/2018.

A su vez, el Real Decreto-ley 12/2018, transpone la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión, también llamada, Directiva NIS (Network and Information Security).

Uno de los objetivos que persigue el Real Decreto 43/2021 es la del desarrollar, por tanto, la normativa europea de ciberseguridad en España, para mejorar la protección frente a las vulneraciones tanto en redes como sistemas de información, como para incrementar la protección frente a posibles ataques.

Esta normativa no podía llegar en un momento más oportuno, cuando el incremento del teletrabajo por la situación generada por el COVID-19, ha dado lugar al incremento de brechas de seguridad.

Lo cual, explica en gran parte la entrada en vigor de esta normativa y que los plazos para su aplicación fueran tan reducidos.

Empresas con la obligación de cumplir con el RD 43/2021

Anteriormente, mencionamos que las empresas que estaban obligadas a cumplir con esta nueva normativa, eran las de Servicios Esenciales y los Prestadores de Servicios Digitales, eso sí, siempre que tengan más de 50 trabajadores.

Servicios Esenciales o Infraestructuras críticas

  • Son los encargados de mantener las funciones sociales básicas: hospitales, transporte por carreteras, supermercados, comercializadoras y distribuidoras de energía, la Administración Pública, entidades bancarias, suministro y distribución de agua potable, etc.

Prestadores de Servicios Digitales

  • Son los proveedores de este tipo de servicios, quedando exentas las microempresas o empresas pequeñas con menos de 50 trabajadores, o que tengan una facturación anual inferior a 10 millones de euros.

    Algunos ejemplos son los servicios en la nube, los mercados en línea o lo motores de búsqueda.

Obligaciones del RD 43/2021

En la introducción ya adelantamos las obligaciones definidas para las empresas afectadas, y en este apartado lo explicaremos.

Designación de un Responsable de Seguridad de la Información o CISO

La nueva normativa, obligó a las empresas a la designación (y declaración ante las autoridades) de un Responsable de Seguridad de la Información o CISO o, en su caso, órgano colegiado o entidad, antes del 27 de abril de 2021.

La función de un CISO es la de punto de contacto con la Autoridad Competente (que será el Ministerio de referencia según el sector o actividad), además de supervisar el cumplimiento de los requerimientos establecidos por la normativa en materia de ciberseguridad.

Elaborar, firmar y presentar la Declaración de Aplicabilidad

El artículo 6.3 del RD 43/2021 establece que el CISO de la empresa tiene que elaborar la Declaración de Aplicabilidad, para lo cual estaba de fecha límite el 27 de julio de 2021.

La Declaración de Aplicabilidad es un documento que forma parte de los requisitos de la ISO 27001 y que también es imprescindible en el ENS.

Os recomiendo la lectura de nuestro caso de éxito al respecto.

En este documento, se reflejan todos los controles aplicables a nuestros sistemas, así como las deficiencias halladas respecto a los ciberataques y su seguimiento, detallando las medidas de contingencia, de continuidad y los protocolos de ciberseguridad.

La Declaración de Aplicabilidad, debe ir firmada por el CISO y aprobada por la organización, y tiene que ser presentada ante la autoridad competente.

Este documento, se incluye dentro de la política de seguridad y es revisable, como mínimo, cada 3 años.

Obligaciones del RD 43/2021

Los apartados que debe tener la Declaración de aplicabilidad son:

  • Análisis y gestión de riesgos.  
  • Gestión de riesgos de terceros o proveedores.  
  • Catálogo de medidas de seguridad, organizativas, tecnológicas y físicas.  
  • Gestión del personal y profesionalidad.  
  • Adquisición de productos o servicios de seguridad.  
  • Detección y gestión de incidentes.  
  • Planes para la recuperación y aseguramiento de la continuidad de las operaciones.  
  • Mejora continua.  
  • Interconexión de sistemas.  
  • Registro de la actividad de los usuarios.  

Si a tu empresa no le ha dado tiempo y aún necesitas dar cumplimiento, no te preocupes, Ingertec puede ayudarte a preparar la Declaración de Aplicabilidad y a tramitarlo todo ante el Ministerio que corresponda a tu actividad.

Máximas garantías y agilidad en el proceso, ¿qué puedes perder? Contáctanos.