El pasado día 28 de enero, se publicó en el BOE, el RD 43/2021, por el que se desarrolla la llamada “Ley NIS”, de seguridad de las redes y sistemas de información. Esta norma supone un antes y un después en el marco regulador de la ciberseguridad y, entre otras novedades, introduce la exigencia de la creación de la figura del Responsable de Seguridad de la Información (RSI) en empresas y administraciones.
La puesta en marcha de esta normativa es algo muy demandado por el sector empresarial desde que, en el año 2016, se publicara la normativa europea, traspuesta en la española con un Real Decreto. Con ella, la Comisión Europea quería reforzar la seguridad de ciertos sectores económicos que son cruciales para el funcionamiento social y económico de los países miembros.
Todo esto nace a raíz del aumento de la ciberdelincuenta, el uso de Internet para, cada vez, más facetas de la vida personal y profesional, y la preocupación por los datos online. La pandemia ha incrementado el número de ataques a las operaciones comerciales y, al tener estas un carácter transnacional, un fallo grave en los sistemas y redes de un organismo o empresa privada puede extenderse, rápidamente, a todos los Estados miembros. El daño potencial que pueden hacer es inmenso: interrupción de suministros básicos, paralización de actividades económicas, robo de datos críticos, pérdidas financieras, etc.
Con la normativa NIS se pretende completar y mejorar el RD Ley de trasposición que ya existía pero que no acababa de convencer a los operadores.
Novedades de la Ley NIS
Según leemos en KPMG Tendencias, las principales novedades que traerá esta normativa a las empresas serán las siguientes:
1 – Se concretan las funciones del Responsable de Seguridad. La necesidad de esta figura ya quedaba patente en el RD Ley. De esta manera, este profesional es el contacto único y quien coordina los asuntos de ciberseguridad con las autoridades competentes, tanto en lo relativo a la notificación de incidentes como a la evaluación de las medidas de seguridad que se implantarán en la empresa.
Además, será el encargado de elaborar y proponer para su aprobación dentro de la Compañía las políticas de seguridad necesarias para el cumplimiento de esta normativa (establecido en el art. 6.2 del Real Decreto). Por otra parte, el responsable de seguridad tendrá que revisar las medidas y políticas corporativas relativas a esta materia, supervisando que se aplican y se cumplen.
2. Aprobación de unas políticas de seguridad en la empresa, concretamente, a aquella que afecten a redes y sistemas de información. Estas políticas deberán recoger, como mínimo, los aspectos incluidos en el Real Decreto, entre los que se incluyen plantes de recuperación en caso de ataque, cómo se va a asegurad la continuidad del negocio y la gestión de los riegos, entre otros aspectos.
3. Adopción de medidas de seguridad adecuadas y proporcionales en sistemas y redes de información. No se trata de una simple declaración de medidas sino hacer una labor de análisis de lo que ya hay en la empresa, un posterior estudio y, sobre todo, una adaptación real a los nuevos requerimientos. En definitiva, se acabó el tiempo de la teoría y hay que pasar a la acción.
4. Obligación de mencionar la seguridad a terceros en la Política de Seguridad. Además, hay que asegurare de que los proveedores también toman las medidas que sean necesarias cuando gestionen las redes y los sistemas de información que afecte a los clientes de una compañía. Es decir, que la responsabilidad de lo que hagan los proveedores, en materia de seguridad de redes y sistemas, lo tiene la empresa.
5. Se permite mostrar el cumplimiento a través de la certificación, con un esquema de seguridad que haya sido validado o reconocido por la autoridad competente. En los caso en los que se esté llevando esta revisión y sea lo suficientemente compleja, la autoridad puede exigirle a la empresa un informe de Auditoría de un externo.
