Obligacions del Reial Decret 43/2021 per a operadors de serveis essencials i prestadors de serveis digitals.
El Reial Decret 43/2021, de 26 de gener, desenvolupa el Reial Decret-Llei 12/2018 de seguretat a les xarxes i sistemes d’informació per adaptar-lo a la directiva NIS (Security of Network and Information Systems) de la Unió Europea sobre ciberseguretat.
És important remarcar que aquesta norma, si bé afecta directament a tots els operadors de telecomunicació com a prestadors de serveis essencials, tanmateix no és d’aplicació obligatòria per petites i microempreses.
Donat que afecta directament al nostre sector, en aquest article us fem un resum del seu contingut i de les obligacions principals que s’han d’assolir per poder complir la legislació, i evidentment evitar el risc de sanció.
1.- Definir una política de seguretat de xarxes i sistemes adaptada a l’empresa. Certificacions com la ISO27K, ENS (Esquema Nacional de Seguridad), etc, compleixen a bastament, però també podem aprofitar tots els processos, polítiques i documentació generats per complir amb la LOPDGDD (Llei 3/2018 de Protecció de dades Personals i garantia dels drets digitals), per ampliar-los i adequar-los a aquesta nova normativa, sense necessitar de certificar-nos. N’hi ha prou d’eixamplar l’abast de la mateixa a qualsevol tipus d’informació, i no només dades personals, i actuar en conseqüència.
2.- Preparar la Declaració d’Aplicabilitat per a ser lliurada a l’autoritat competent abans de juliol d’enguany. Una vegada més, el SoA (Statement of Applicability) de la ISO 27K o la Declaració d’Aplicabilitat de l’ENS ens van com anell al dit, però si no les tenim, les podem prendre com a model per fer-ne una de més senzilla o adequada a les nostres necessitats.
3.- Establir una política de riscos respecte a proveïdors externs. Aquests aspectes també estan contemplats a les certificacions anteriors, i si tenim la LOPD, haurem d’eixamplar l’abast, ja que aquesta només afecta els proveïdors externs que tracten dades personals, i per tant caldrà redactar documentació específica, tot i que els contractes signats per la LOPD seran vàlids, però probablement no suficients.
4.- Establir una política i un protocol de notificació d’incidències a l’autoritat competent. En aquest punt, les obligacions de la LOPD sobre notificacions de bretxes de seguretat són plenament vàlides, només cal eixamplar l’abast a qualsevol tipus de dada i sobre les autoritats a notificar.
5.- Nomenar un CISO (Chief Information Security Officer) abans de l’abril de 2021 i establir un estatut jurídic per aquest càrrec que en reculli les responsabilitats i funcions. És important d’assenyalar que el CISO es pot externalitzar, per totes aquelles empreses que tot i estar obligades a complir el reial Decret, no tenen capacitat suficient per a contractar nou personal, i no poden carregar el personal actual amb més tasques i responsabilitats.
Aquest és un breu resum que espero hagi estat d’utilitat. En qualsevol cas, a Data Risc, com a entitat col·laboradora de FECEMINTE, estem a la vostra disposició per assessorar-vos sobre la millor manera d’escometre l’adequació de la vostra empresa a la nova normativa de ciberseguretat.
Josep Puy i Campàs
Director de Data Risc
Assessoria i seguretat Informàtica, SL
