El Boletín Oficial del Estado del 28 de enero publica el Real Decreto 43/2021, de 26 de enero, por el que se desarrolla el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información.

La noma obliga a los operadores de servicios esenciales y los proveedores de servicios digitales a «adoptar las medidas técnicas y de organización adecuadas y proporcionadas para gestionar los riesgos que afecten a la seguridad de las redes y sistemas de información utilizados para la prestación de sus servicios, tanto si se trata de redes y sistemas propios, como de proveedores externos».

Los operadores de servicios esenciales «deberán aprobar unas políticas de seguridad de las redes y sistemas de información, atendiendo a los principios de seguridad integral, gestión de riesgos, prevención, respuesta y recuperación, líneas de defensa, reevaluación periódica y segregación de tareas», que considerarán, como mínimo, los siguientes aspectos:

• a) Análisis y gestión de riesgos.
• b) Gestión de riesgos de terceros o proveedores.
• c) Catálogo de medidas de seguridad, organizativas, tecnológicas y físicas.
• d) Gestión del personal y profesionalidad.
• e) Adquisición de productos o servicios de seguridad.
• f) Detección y gestión de incidentes.
• g) Planes de recuperación y aseguramiento de la continuidad de las operaciones.
• h) Mejora continua.
• i) Interconexión de sistemas.
• j) Registro de la actividad de los usuarios.

«Las medidas de seguridad que se adopten por los operadores de servicios esenciales deberán tener en cuenta, en particular, la dependencia de las redes y sistemas de información y la continuidad de servicios o suministros contratados por el operador, así como las interacciones que presenten con redes y sistemas de información de terceros», subraya el Real Decreto.

La relación de medidas adoptadas se formalizará en una Declaración de Aplicabilidad de medidas de seguridad, que será suscrito por el responsable de seguridad de la información designado, y que se incluirá en la política de seguridad que apruebe la Dirección de la organización.

Este documento, que deberá remitirse a la autoridad competente en el plazo de seis meses desde la designación del operador como operador de servicios esenciales, deberá revisarse, al menos, cada tres años. Tanto la Declaración de Aplicabilidad de medidas de seguridad inicial, como sus sucesivas revisiones, serán objeto de supervisión por la autoridad competente.

Plataforma Nacional de Notificación y Seguimiento de Ciberincidentes

Los operadores de servicios esenciales notificarán a la autoridad competente «los incidentes que puedan tener efectos perturbadores significativos» en esos servicios. Y también  «los sucesos o incidencias que, por su nivel de peligrosidad, puedan afectar a las redes y sistemas de información empleados para la prestación de los servicios esenciales, aun cuando no hayan tenido todavía un efecto adverso real» sobre éstos.

El Centro Criptográfico Nacional pondrá a disposición de todos los actores involucrados la Plataforma Nacional de Notificación y Seguimiento de Ciberincidentes. Esta plataforma permitirá el intercambio de información y el seguimiento de incidentes entre los operadores de servicios esenciales o proveedores de servicios digitales, las autoridades competentes y terceras entidades de manera segura y confiable. Por tanto, deberá garantizar la disponibilidad, autenticidad, integridad y confidencialidad de la información,