Seguridad de Redes y Sistemas de información

Real Decreto 43/2021

Maite Navarrete Navarro
Consultora – Área Consultoría de SAYMA.

En relación al RD 43/2021 sobre Seguridad de Redes y Sistemas de información, podríamos concluir los siguientes aspectos:

¿A quién afecta esta normativa?

  • Empresas de más de 50 trabajadores, que sean consideradas operadores de servicios esenciales (telecomunicaciones, transporte, energía, sanitario publico y privado,  entidades financieras, industria alimentaria, etc, … recogidos en las leyes 17/2015 y 8/2011).

¿Qué debe incluir el Sistema de Gestión?

  • Análisis y gestión de los riesgos que afectan a nuestros activos y sistemas de información.
  • Gestión de Riesgos de terceros o proveedores.
  • Catálogo de medidas organizativas, tecnológicas y físicas.
  • Gestión de personal.
  • Adquisición de productos y servicios.
  • Detección y gestión de accidentes.
  • Planes de continuidad

Es obligatorio designar un Responsable de Seguridad de la Información u órgano colegiado, que deberá notificarse a la Autoridad Competente (Ministerio de referencia según el sector), en un plazo máximo de 3 meses (Abril  2021).

Además el sistema obliga a realizar una Declaración de Aplicabilidad en la que se reflejen los controles aplicables a nuestros sistemas, declaración que deberá ser remitida a la Autoridad Competente en un plazo máximo de 6 meses desde la publicación del Decreto, es decir final de Julio de 2021.

También es especialmente importante definir el proceso de Gestión de Incidentes de Seguridad, que deberá cumplir lo recogido en los anexos del decreto en cuanto a su tipificación, priorización , plazos y comunicación a las autoridades competentes.

Una empresa que cumpliera el ENS o la ISO/IEC 27001 (estándar internacionalmente reconocido) estaría cumpliendo con el decreto, aunque tendría que realizar un procedimiento específico de comunicación de incidentes siguiendo los criterios indicados anteriormente.