Federació Catalana d'Empreses de Telecomunicacions

Obligacions de la nova normativa de ciberseguretat


Data de publicació:
/

Obligacions del Reial Decret 43/2021 per a operadors de serveis essencials i prestadors de serveis digitals.

El Reial Decret 43/2021, de 26 de gener, desenvolupa el Reial Decret-Llei 12/2018 de seguretat a les xarxes i sistemes d’informació per adaptar-lo a la directiva NIS (Security of Network and Information Systems) de la Unió Europea sobre ciberseguretat.

És important remarcar que aquesta norma, si bé afecta directament a tots els operadors de telecomunicació com a prestadors de serveis essencials, tanmateix no és d’aplicació obligatòria per petites i microempreses.

Donat que afecta directament al nostre sector, en aquest article us fem un resum del seu contingut i de les obligacions principals que s’han d’assolir per poder complir la legislació, i evidentment evitar el risc de sanció.

1.- Definir una política de seguretat de xarxes i sistemes adaptada a l’empresa. Certificacions com la ISO27K, ENS (Esquema Nacional de Seguridad), etc, compleixen a bastament, però també podem aprofitar tots els processos, polítiques i documentació generats per complir amb la LOPDGDD (Llei 3/2018 de Protecció de dades Personals i garantia dels drets digitals), per ampliar-los i adequar-los a aquesta nova normativa, sense necessitar de certificar-nos. N’hi ha prou d’eixamplar l’abast de la mateixa a qualsevol tipus d’informació, i no només dades personals, i actuar en conseqüència.

2.- Preparar la Declaració d’Aplicabilitat  per a ser lliurada a l’autoritat competent abans de juliol d’enguany. Una vegada més, el SoA (Statement of Applicability) de la ISO 27K o la Declaració d’Aplicabilitat de l’ENS ens van com anell al dit, però si no les tenim, les podem prendre com a model per fer-ne una de més senzilla o adequada a les nostres necessitats.

3.- Establir una política de riscos respecte a proveïdors externs. Aquests aspectes també estan contemplats a les certificacions anteriors, i si tenim la LOPD, haurem d’eixamplar l’abast, ja que aquesta només afecta els proveïdors externs que tracten dades personals, i per tant caldrà redactar documentació específica, tot i que els contractes signats per la LOPD seran vàlids, però probablement no suficients.

4.- Establir una política i un protocol de notificació d’incidències a l’autoritat competent. En aquest punt, les obligacions de la LOPD sobre notificacions de bretxes de seguretat són plenament vàlides, només cal eixamplar l’abast a qualsevol tipus de dada i sobre les autoritats a notificar.

5.- Nomenar un CISO (Chief Information Security Officerabans de l’abril de 2021 i establir un estatut jurídic per aquest càrrec que en reculli les responsabilitats i funcions. És important d’assenyalar que el CISO es pot externalitzar, per totes aquelles empreses que tot i estar obligades a complir el reial Decret, no tenen capacitat suficient per a contractar nou personal, i no poden carregar el personal actual amb més tasques i responsabilitats.

Aquest és un breu resum que espero hagi estat d’utilitat. En qualsevol cas, a Data Risc, com a entitat col·laboradora de FECEMINTE, estem a la vostra disposició per assessorar-vos sobre la millor manera d’escometre l’adequació de la vostra empresa a la nova normativa de ciberseguretat.

Josep Puy i Campàs
Director de Data Risc
Assessoria i seguretat Informàtica, SL

Fem servir cookies pròpies i de tercers per optimitzar i analitzar la navegació dels nostres usuaris. Llevat que s'oposi, entenem que consenteix que les usem per a tals fins en continuar navegant per aquest lloc web, tot i que pot retirar el consentiment en qualsevol moment Més informació

The cookie settings on this website are set to "allow cookies" to give you the best browsing experience possible. If you continue to use this website without changing your cookie settings or you click "Accept" below then you are consenting to this.

Close