Con fecha 28 de enero de 2021, el Boletín Oficial del Estado ha publicado el Reglamento de Seguridad de las Redes y Sistemas de la Información (Reglamento NIS); afecta a operadores y proveedores de servicios esenciales, quedando excluidos de su ámbito de aplicación los operadores de redes y servicios de comunicaciones electrónicas y los prestadores de servicios electrónicos de confianza que no sean designados como operadores críticos. Tampoco estarán sujetos a esta norma los proveedores de servicios digitales cuando se trate de microempresas o pequeñas empresas.
Establece la necesidad de adoptar medidas técnicas y organizativas en función de la gestión de los riesgos que afecten a la seguridad de las redes y los sistemas de información.
Especifica que las autoridades competentes en ciberseguridad serán las recogidas en la Ley NIS (Secretarías de Estado de Seguridad, Defensa y para el Avance Digital a través de diferentes órganos). Así mismo, se designa autoridades competentes para los operadores privados de servicios esenciales que no sean críticos, señalando los organismos responsables para los sectores de transporte, energía, TIC, sistema financiero, espacio, industria química, instalaciones de investigación, salud, agua, alimentación e industria nuclear.
Se crea la Plataforma Nacional de Notificación y Seguimiento de Ciberincidentes tras la implantación de un sistema de cooperación y coordinación entre los equipos de respuesta a incidentes de seguridad de referencia (CSIRT), con el objetivo de notificar incidentes de ciberseguridad, en plazo y forma, permitiendo el intercambio de información y el seguimiento de incidentes entre operadores de servicios esenciales o proveedores de servicios digitales, las autoridades competentes y los CSIRT de referencia.
Se establece como punto de contacto único para ejercer de enlace entre autoridades competentes nacionales y de la Unión Europea, Grupo de Cooperación Europeo y red de CRSIT, el Departamento de Seguridad Nacional, el cual deberá comunicar a la Comisión Europea la lista de operadores de servicios esenciales nacionales establecidos para cada sector y subsector.
Los operadores deberán designar a una persona como responsable de la seguridad de la información (CISO) como punto de contacto y coordinación con las autoridades competentes y CSIRT de referencia. En cuanto a las funciones que desempeñará el CISO en este nuevo marco normativo, se responsabiliza de elaborar políticas de seguridad; desarrollar la normativa y procedimientos derivados; elaboración de Documento de Aplicabilidad; capacitador de buenas prácticas; notificación de ciberincidentes; así como cualesquiera otras funciones que se determinen reglamentariamente.
Las medidas a las que se refieren los apartados anteriores tomarán como referencia las recogidas en el anexo II del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, en la medida en que sean aplicables, y se basarán, cuando sea posible, en otros esquemas nacionales de seguridad existentes. Sin perjuicio de lo anterior, podrán tenerse en cuenta otros estándares reconocidos internacionalmente. Las medidas adoptadas podrán ser complementadas con otras, atendiendo a necesidades específicas, entre ellas, la posibilidad de exigir un documento de aplicabilidad de los sistemas afectados por esta normativa, en aquellos operadores con entornos de sistemas de información especialmente complejos
Equipo Áudea