El Real Decreto 43/2021, de 26 de enero, se dicta en desarrollo de la habilitación contenida en la disposición final tercera del Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información, que transpone al ordenamiento jurídico español la Directiva 2016/1148, de 6 de julio, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión, conocida como la Directiva NIS (Security of Network and Information Systems) y tiene por objeto regular la seguridad de las redes y sistemas de información utilizados para la provisión de los servicios esenciales y los servicios digitales, estableciendo mecanismos que, con una perspectiva integral, permiten mejorar la protección frente a las amenazas que afectan a las redes y sistemas de información, y fijando un marco institucional de cooperación que facilita la coordinación de las actuaciones realizadas en esta materia tanto a nivel nacional como con los países de nuestro entorno, en particular, dentro de la Unión Europea.
Ámbito de aplicación
La norma es aplicable tanto a los servicios esenciales dependientes de las redes y sistemas de información comprendidos en los sectores estratégicos definidos en el anexo de la Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas, como a los servicios digitales que sean mercados en línea, motores de búsqueda en línea y servicios de computación en nube.
Por otra parte, están sometidos a ella los operadores de servicios esenciales establecidos en España, siendo también aplicable a los servicios esenciales que los operadores residentes o domiciliados en otro Estado ofrezcan a través de un establecimiento permanente situado en España, y a los proveedores de servicios digitales que tengan su sede social en España y que constituya su establecimiento principal en la Unión Europea, así como los que, no estando establecidos en la Unión Europea, designen en España a su representante en la Unión para el cumplimiento de la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión.
Por el contrario, están exentos los operadores de redes y servicios de comunicaciones electrónicas y los prestadores de servicios electrónicos de confianza que no sean designados como operadores críticos en virtud de la Ley 8/2011, de 28 de abril, y los proveedores de servicios digitales cuando se trate de microempresas o pequeñas empresas, de acuerdo con las definiciones recogidas en la Recomendación 2003/361/CE de la Comisión, de 6 de mayo de 2003, sobre la definición de microempresas, pequeñas y medianas empresas.
Marco estratégico e institucional
Las autoridades competentes en materia de seguridad de las redes y sistemas de información serán, con carácter general, las siguientes:
Sector del transporte: el Ministerio de Transportes, Movilidad y Agenda Urbana, a través de la Secretaría de Estado de Transportes, Movilidad y Agenda Urbana.
Sector de la energía: el Ministerio para la Transición Ecológica y el Reto Demográfico, a través de la Secretaría de Estado de Energía.
Sector de las tecnologías de la información y las telecomunicaciones: el Ministerio de Asuntos Económicos y Transformación Digital, a través de la Secretaría de Estado de Digitalización e Inteligencia Artificial y la Secretaría de Estado de Telecomunicaciones e Infraestructuras Digitales.
Sector del sistema financiero: el Ministerio de Asuntos Económicos y Transformación Digital, a través de la Secretaría de Estado de Economía y Apoyo a la Empresa, en el ámbito de los seguros y fondos de pensiones; el Banco de España, para las entidades de crédito; la Comisión Nacional del Mercado de Valores, para las entidades que prestan servicios de inversión y las sociedades gestoras de instituciones de inversión colectiva.
Sector del espacio: el Ministerio de Defensa, a través de la Secretaría de Estado de Defensa.
Sector de la industria química: el Ministerio de Interior, a través de la Secretaría de Estado de Seguridad.
Sector de las instalaciones de investigación: el Ministerio de Ciencia e Innovación, a través de la Secretaría General de Investigación.
Sector de la salud: el Ministerio de Sanidad, a través de la Secretaría de Estado de Sanidad.
Sector del agua: el Ministerio para la Transición Ecológica y el Reto Demográfico, a través de la Secretaría de Estado de Medio Ambiente.
Sector de la alimentación: el Ministerio de Agricultura, Pesca y Alimentación, a través de la Secretaría General de Agricultura y Alimentación; el Ministerio de Sanidad, a través de la Secretaría de Estado de Sanidad; el Ministerio de Industria, Comercio y Turismo, a través de la Secretaría de Estado de Comercio; el Ministerio de Consumo, a través de la Agencia Española de Seguridad Alimentaria y Nutrición (AESAN).
Sector de la industria nuclear: el Ministerio para la Transición Ecológica y el Reto Demográfico, a través de la Secretaría de Estado de Energía; y el Consejo de Seguridad Nuclear.
Recoge los supuestos de cooperación y coordinación entre los equipos de respuesta a incidentes de seguridad informática (CSIRT) de referencia, y de estos con las autoridades competentes, que se instrumentan a través de la Plataforma Nacional de Notificación y Seguimiento de Ciberincidentes.
La norma se ocupa de la figura del punto de contacto único que consagra la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, concretando sus funciones de enlace para garantizar la cooperación transfronteriza con las autoridades competentes de otros Estados miembros de la Unión Europea, así como con el grupo de cooperación y la red de CSIRT.
Requisitos de seguridad
En cumplimiento de lo previsto en el art. 16.2 del Real Decreto-ley 12/2018, la norma dispone que los operadores de servicios esenciales y los proveedores de servicios digitales deberán adoptar las medidas técnicas y de organización adecuadas y proporcionadas para gestionar los riesgos que afecten a la seguridad de las redes y sistemas de información utilizados para la prestación de sus servicios, tanto si se trata de redes y sistemas propios, como de proveedores externos. En el caso de los operadores de servicios esenciales, deberán aprobar unas políticas de seguridad de las redes y sistemas de información, atendiendo a los principios de seguridad integral, gestión de riesgos, prevención, respuesta y recuperación, líneas de defensa, reevaluación periódica y segregación de tareas.
Estas medidas necesarias para el cumplimiento de las obligaciones de seguridad por parte de los operadores de servicios esenciales deberán concretarse en una declaración de aplicabilidad de medidas de seguridad suscrita por el responsable de seguridad de la información del operador.
Este responsable de seguridad de la información, que deberá designarse en el plazo de tres meses desde su designación como operador de servicios esenciales, actuará como punto de contacto con la autoridad competente en materia de supervisión de los requisitos de seguridad de las redes y sistemas de información, y como punto de contacto especializado para la coordinación de la gestión de los incidentes con el CSIRT de referencia. Asimismo, el Real Decreto concreta las funciones que han de desarrollarse bajo su responsabilidad, así como los requisitos que debe cumplir.
Incidentes de seguridad
La norma desarrolla las obligaciones de notificación por parte de los operadores de servicios esenciales de los incidentes que puedan tener efectos perturbadores significativos en dichos servicios, así como de los incidentes que puedan afectar a las redes y sistemas de información empleados para la prestación de los servicios esenciales aun cuando no hayan tenido un efecto adverso real sobre aquellos, por referencia a los niveles de impacto y peligrosidad, según sea el caso, previstos en la Instrucción nacional de notificación y gestión de ciberincidentes que adjunta en un anexo.
Los incidentes se asociarán a uno de los niveles de peligrosidad e impacto establecidos en la instrucción, teniendo en cuenta la obligatoriedad de notificación de todos aquellos que se categoricen con un nivel CRÍTICO, MUY ALTO o ALTO para todos aquellos sujetos obligados a los que les sea aplicable esta «Instrucción nacional de notificación y gestión de ciberincidentes». En ese caso, los sujetos obligados deberán comunicar, en tiempo y forma, los incidentes que registren en sus redes y sistemas de información y que estén obligados a notificar por superar los umbrales de impacto o peligrosidad establecidos en esta instrucción.
En este sentido, incorpora la regulación del procedimiento de notificación de incidentes, a realizar a través de la Plataforma Nacional de Notificación y Seguimiento de Ciberincidentes, permitiendo con ello el intercambio de información entre los operadores de servicios esenciales y proveedores de servicios digitales, las autoridades competentes y los CSIRT de referencia. Asimismo, esta plataforma deberá garantizar la disponibilidad, autenticidad, integridad y confidencialidad de la información, así como podrá emplearse también para dar cumplimiento a la exigencia de notificación derivada de regulaciones sectoriales. E implementará el procedimiento de notificación y gestión de incidentes, que estará disponible durante todas las horas del día y todos los días del año.
Además, el Real Decreto se refiere a la proporción de información pertinente sobre dichos incidentes por parte de las autoridades competentes y los CSIRT a los operadores de servicios esenciales y a los proveedores de servicios digitales.
Y recoge de forma específica las actuaciones a realizar en los supuestos de incidentes con carácter presuntamente delictivo.
Supervisión y control
La norma contiene las disposiciones relativas a la supervisión del cumplimiento de obligaciones de seguridad y de notificación de incidentes, las cuales incluyen la obligación de los operadores de servicios esenciales y los proveedores de servicios digitales colaborarán con la autoridad competente en dicha supervisión.
Las autoridades competentes podrán realizar las actuaciones inspectoras que sean precisas para el ejercicio de su función de control, pudiendo requerir a los CSIRT su colaboración en el ejercicio de estas funciones de control y supervisión.
Por último, señalar que el Real Decreto recoge un régimen jurídico específico aplicable al Banco de España teniendo en cuenta su especial configuración jurídica como entidad de Derecho público con personalidad jurídica propia y plena capacidad pública y privada, que en el desarrollo de su actividad y para el cumplimiento de sus fines actúa con autonomía respecto a la Administración General del Estado, y como parte integrante del Sistema Europeo de Bancos Centrales (SEBC) y del Mecanismo Único de Supervisión (MUS). Esta especial configuración jurídica supone que el marco de seguridad de las redes y sistemas de información resulte de aplicación en la medida en que no interfiera con la naturaleza, funciones e independencia del Banco de España.
Entrada en vigor y disposiciones transitorias
El Real Decreto 43/2021, de 26 de enero, entra en vigor el 29 de enero de 2021, al día siguiente de su publicación en el Boletín Oficial del Estado.
La Secretaría de Estado de Seguridad del Ministerio del Interior, a través de la Oficina de Coordinación de Ciberseguridad (OCC), desempeñará temporalmente las funciones atribuidas por este real decreto al departamento ministerial con competencias en materia de energía, hasta que este disponga de los recursos humanos necesarios con la formación adecuada para ejercer estas competencias de forma efectiva según lo previsto en el artículo 3 y, en todo caso, en un plazo máximo de 12 meses.
