El RD 43/2021 del 26 de gener, desenvolupa el RD-Llei 12/2018 de seguretat a les xarxes i sistemes d’informació, adaptant-lo a la directiva NIS (Security of Network and Information Systems) de la UE sobre ciberseguretat. Aquesta norma, que afecta directament a tots els operadors de telecomunicació com a prestadors de serveis essencials, no és d’aplicació obligatòria per petites i microempreses.
A continuació us adjuntem les idees i obligacions principals que s’han d’assolir per poder complir la legislació, i evidentment evitar el risc de sanció:
1. Definir una política de seguretat de xarxes i sistemes adaptada a l’empresa. Certificacions com la ISO27K, ENS (Esquema Nacional de Seguridad), compleixen a bastament, però també podem aprofitar tots els processos, polítiques i documentació generats per complir amb la LOPDGDD (Llei 3/2018 de Protecció de dades Personals i garantia dels drets digitals), per ampliar-los i adequar-los a aquesta nova normativa, sense necessitar certificar-nos. N’hi ha prou d’eixamplar l’abast de la mateixa a qualsevol classe d’informació, i no només dades personals, i actuar en conseqüència.
2. Preparar la Declaració d’Aplicabilitat per a ser lliurada a l’autoritat competent abans de juliol d’enguany. El SoA (Statement of Applicability) de l’ISO 27K o la Declaració d’Aplicabilitat de l’ENS ens van com anell al dit, però si no les tenim, les podem prendre com a model per fer-ne una de més senzilla o adequada a les nostres necessitats.
3. Establir una política de riscos respecte a proveïdors externs. Aquests aspectes també estan contemplats a les certificacions anteriors, i si tenim la LOPD, haurem d’eixamplar l’abast, ja que aquesta només afecta els proveïdors externs que tracten dades personals, i per tant caldrà redactar documentació específica, tot i que els contractes signats per la LOPD seran vàlids, però probablement no suficients.
4. Establir una política i un protocol de notificació d’incidències a l’autoritat competent. En aquest punt, les obligacions de la LOPD sobre notificacions de bretxes de seguretat són plenament vàlides, només cal eixamplar l’abast a qualsevol mena de dada i sobre les autoritats a notificar.
5. Nomenar un CISO (Chief Information Security Officer) abans de l’abril de 2021 i establir un estatut jurídic per aquest càrrec que en reculli les responsabilitats i funcions. És important d’assenyalar que el CISO es pot externalitzar, per totes aquelles empreses que tot i estar obligades a complir el reial Decret, no tenen prou capacitat per a contractar nou personal, i no poden carregar el personal actual amb més tasques i responsabilitats.
