El pasado 28 de enero de 2021, se aprobó y publicó el Real Decreto 43/2021 en el BOE. En el RD se desarrolla la Ley NIS, referente a al seguridad de las redes y sistemas de información, suponiendo un avance en el marco regulador de la ciberseguridad.

Desde el año 2016, existe una normativa europea que regula la ciberseguridad en el sector empresarial, además de una adaptación de la misma en un Real Decreto en el BOE. Todo ello se vio impulsado por el aumento de ciberdelincuencia en internet que cada vez más, afectaba al mundo personal y profesional.

Tras la pandemia del pasado año y la obligada adaptación tecnológica que han tenido que hacer todas las empresas para sobrevivir, la preocupación por los sistemas de información y datos online ha ido creciendo exponencialmente. Un fallo en la seguridad de los sistemas y redes de una empresa, puede causar un problema con magnitudes importantes, tanto en pérdidas financieras como en pérdida de información e interrupción de las actividades básicas.

Con esta Ley NIS se pretende completar y actualizar el RD Ley de Trasposición, la adaptada europea, que empezaba a quedarse incompleta en materia de la ciberseguridad.

El Reglamento de Desarrollo de la NIS y ciberseguridad se compone de diferentes normativas, políticas y medidas de seguridad en el mundo online:

La primera novedad es la introducción de la figura de Responsable de Seguridad de la Información en empresas y administraciones (RSI).  Aunque en el RD Ley anterior ya se mencionaba la necesidad de nombrar esta figura, en esta nueva Ley NIS, se detallan sus funciones:

• Persona encargada de ser contacto único y coordinador con las autoridades que competen, en la evaluación de las medidas de seguridad adoptadas en la organización y la notificación de posibles incidencias.
• También es la persona que elabora y propone las políticas de seguridad necesarias para cumplir con la normativa, establecido en el Art. 6.2 del RD.
• Persona que supervisa la aplicación y revisa las políticas y las medidas de seguridad implantadas.
• El RSI, además, elabora el documento de Declaración de Aplicabilidad donde se recogen las medidas de seguridad.

La nueva Ley NIS, obliga a las organizaciones a mencionar la seguridad a terceros en la Política de Seguridad. Dichas políticas incluyen análisis y gestión de los riesgos, gestión de incidentes o los planes de recuperación y aseguramiento de la continuidad.

Finalmente, con el nuevo reglamento, se permitirá mostrar el Cumplimiento a través de una certificación en un esquema de Seguridad que tendrá que ser validado y reconocido por la autoridad competente. Existe la posibilidad de que, frente a una revisión compleja, se exija a la empresa un informe de Auditoría de un agente externo.

Con estas nuevas medidas legales, se prevé que la ciberseguridad de las organizaciones empresariales esté más protegida frente a ciberataques y mejore el desarrollo económico y social del país.