accesskey_mod_content

Publicado el Real Decreto que desarrolla el RDL de seguridad de las redes y sistemas de información

29 enero 2021

El Real Decreto 43/2021 desarrolla, a su vez, el Real Decreto-ley 12/2018 en lo relativo al marco estratégico e institucional de seguridad de las redes y sistemas de información, a la gestión de incidentes de seguridad y al cumplimiento de las obligaciones de seguridad de los operadores de servicios esenciales y de los proveedores de servicios digitales.

El Real Decreto 43/2021(Abre en nueva ventana) , de 26 de enero, por el que se desarrolla el Real Decreto-ley 12/2018(Abre en nueva ventana) , de 7 de septiembre, de seguridad de las redes y sistemas de información:

  • Pormenoriza la designación de autoridades competentes en materia de seguridad de las redes y sistemas de información.
  • Desarrolla los supuestos de cooperación y coordinación entre los equipos de respuesta a incidentes de seguridad informática (CSIRT) de referencia, y de estos con las autoridades competentes, que se instrumentan a través de la Plataforma Nacional de Notificación y Seguimiento de Ciberincidentes.
  • Desarrolla las funciones de enlace de la figura del punto de contacto único para garantizar la cooperación transfronteriza con las autoridades competentes de otros Estados miembros de la Unión Europea, así como con el grupo de cooperación y la red de CSIRT.
  • Desarrolla las previsiones sobre las medidas necesarias para el cumplimiento de las obligaciones de seguridad por parte de los operadores de servicios esenciales, que habrán de concretarse en una declaración de aplicabilidad de medidas de seguridad suscrita por el responsable de seguridad de la información del operador, cuyas funciones también se desarrollan en este real decreto.
  • Desarrolla las obligaciones de notificación por parte de los operadores de servicios esenciales de los incidentes que puedan tener efectos perturbadores significativos en dichos servicios, así como de los incidentes que puedan afectar a las redes y sistemas de información empleados para la prestación de los servicios esenciales aun cuando no hayan tenido un efecto adverso real sobre aquellos, por referencia a los niveles de impacto y peligrosidad, según sea el caso, previstos en la Instrucción nacional de notificación y gestión de ciberincidentes incluida en anexo en la disposición.
  • Articula el procedimiento de notificación de incidentes a través de la Plataforma Nacional de Notificación y Seguimiento de Ciberincidentes, a fin de permitir el intercambio de información entre los operadores de servicios esenciales y proveedores de servicios digitales, las autoridades competentes y los CSIRT de referencia, garantizando la confidencialidad, integridad y disponibilidad de la información.
  • Desarrolla la obligación de colaboración de los operadores de servicios esenciales y los proveedores de servicios digitales con las autoridades competentes, que podrán requerir, asimismo, la colaboración de los CSIRT de referencia para el ejercicio de su función de supervisión.

Recoge el régimen jurídico aplicable al Banco de España teniendo en cuenta su especial configuración jurídica como entidad de Derecho público con personalidad jurídica propia y plena capacidad pública y privada.

  • Seguridad