A principios del 2021 entró en vigor el Real Decreto 43/2021 con el objetivo de promover actuaciones en el seno de las empresas de servicios esenciales que contribuyan a incrementar el nivel de ciberseguridad. Se trata de un marco normativo referido a la seguridad de las redes y sistemas de información que introdujo cambios de relevancia en el sector afectado (servicios esenciales y prestadores de servicios digitales).
El objetivo de este decreto es terminar con la desidia de las organizaciones en el establecimiento de las políticas de ciberseguridad oportunas para evitar los ciberataques y sus consecuencias. La ciberdelincuencia se ha incremento con motivo de la pandemia, que ha supuesto el auge de las modalidades de trabajo remoto y el comercio electrónico.
Qué implicaciones tiene el Real Decreto 43/2021, Esquema Nacional de Seguridad y ciberseguridad
Se analizarán las principales obligaciones que han de cumplir las empresas para adecuarse al marco legal:
- Obligación de nombrar un responsable de seguridad de la información o CISO (chief information security officer). Él será el nexo de unión con la Administración y se encargará de que la empresa cumpla con lo establecido por la normativa. Puede ser un órgano colegiado, una entidad o una persona física. Tras la entrada en vigor del R. D., se disponía de un plazo de 3 meses para nombrar al responsable ante el ministerio oportuno (el plazo acabó en abril de 2021).
- Declaración de aplicabilidad de las prácticas de seguridad que se implementarán. Tras ser presentada la declaración, ha de ser revisada, como mínimo, cada 3 años. Se trata de un documento donde se revisan las medidas de ciberseguridad vigentes en la empresa y las ineficiencias detectadas, así como una vía de solución y un plan de seguimiento para monitorizar los resultados a lo largo del tiempo. Algunos apartados de la declaración son los siguientes: análisis y gestión de riesgos; gestión de riesgos de terceros o proveedores; catálogo de medidas de seguridad, organizativas, tecnológicas y físicas; gestión del personal y profesionalidad; adquisición de productos o servicios de seguridad; detección y gestión de incidentes; planes para la recuperación y aseguramiento de la continuidad de las operaciones o registro de la actividad de los usuarios.
- Política de seguridad de redes y sistemas que establezca el modelo de gestión de la ciberseguridad y las actuaciones que seguirá la empresa.
- Valorar la certificación en el Esquema Nacional de Seguridad (ENS) u otros marcos que presenten una equivalencia que permita acreditar el alineamiento con las obligaciones organizativas y técnicas en materia de ciberseguridad. El ENS está inspirado en la familia de estándares ISO 27000. En concreto, se basa en la ISO 27001. Esta certificación garantiza la seguridad de los datos, servicios electrónicos y comunicaciones.
¿Qué tipos de empresas deben cumplir el RD 43/2021?
El RD 43/2021 afecta a los operadores de servicios esenciales y a los prestadores de servicios digitales. Los primeros están definidos en dos leyes:
- Ley 17/2015, de 9 de julio, del Sistema Nacional de Protección Civil. Según este texto, son servicios esenciales los necesarios para el mantenimiento de la seguridad, bienestar social y económico, funciones sociales básicas, la salud, o el eficaz funcionamiento de las instituciones del Estado y las Administraciones públicas.
- Ley 8/2011, de 28 de abril, a través de la cual se establecen medidas para la protección de las infraestructuras críticas.
Ejemplos de empresas que deben cumplir con el Real Decreto 43/2021
Algunos ejemplos de operadores de servicios esenciales son los siguientes:
- Sistema financiero y tributario: Entidades bancarias y de crédito (todas). También, las empresas de recobro, brokers, entidades que ofrecen gestiones de cartera o líneas de crédito, inversiones extranjeras o asesoramiento financiero, etc.
- Producción, distribución y venta de productos de alimentación: Grandes cadenas de alimentación (supermercados, hipermercados, empresas agroalimentarias, cooperativas, pymes de producción, distribuidoras de alimentos con grandes almacenes), horticultoras, empresas de fabricación de aceites y lácteos, entre otras.
Algunos ejemplos de proveedores de servicios digitales son los siguientes:
- Motores de búsqueda online.
- Mercados online, como los sitios de venta de productos o servicios de terceros (marketplaces).
- Servicios basados en la nube.
Se recuerda que, dentro de este grupo, quedan exentas las pymes con menos de 50 trabajadores o una facturación anual menor de 10 millones de euros.
¿Por qué las empresas deben cumplir el Real Decreto 43/2021 de ciberseguridad?
Al margen de su obligatoriedad para los tipos de empresas mencionados en el apartado anterior, es muy conveniente cumplir con los requisitos del R. D. 43/202 para blindarse ante los ciberataques y proteger con mayores garantías la información de los clientes o de carácter interno.
De cara al público, se convierte en un sello de calidad que puede completarse con la adecuación al ENS. Las empresas preocupadas por la ciberseguridad afrontan el futuro con más solvencia en términos operativos.
Tech2Business te ofrece el mejor prestador de servicios en cloud, que cumple con el RD 43/2021 y está certificado con ENS nivel alto
Desde Tech2Business queremos convertirnos en tu distribuidor de tecnología de confianza, y es por ello que trabajamos con los mejores fabricantes para que nuestros partners puedan ofrecer las soluciones y servicios de mayor calidad a sus clientes.
Es uno de los principales motivos por los que mantenemos una gran alianza con Walhalla Cloud, un prestador de servicios en la nube que cumple con el Real Decreto 43/2021 y está certificado con ENS nivel alto. Convertirse en partner de esta iniciativa permite a las empresas ofrecer a sus clientes servicios que cumplen a rajatabla con la normativa y sus correspondientes garantías.
¿Te gustaría saber cómo puedes ser partner de Walhalla Cloud a través de Tech2Business? ¡Pregúntanos sin compromiso!