Tema 3 Normativa Ciber PDF

Máster Universitario en
Ciberdelitos y regulación de la ciberseguridad Ciberseguridad
NORMATIVA EN MATERIA DE CIBERSEGURIDAD

Normativa en materia de ciberseguridad Ciberseguridad
Real Decreto 43/2021, desarrolla el Real Decreto-ley 12/2018, de 7 de

septiembre, de seguridad de las redes y sistemas de información:
Afecta a los calificados como “servicios esenciales” según el RDLey

12/2018 y se establecen responsabilidades a los proveedores de estos
“servicios esenciales”.
► Directiva 2016/1148 NIS o de Ciberseguridad (Directiva (UE) 2016/1148, de 6 de julio de 2016, relativa
a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de
información en la Unión)
• Objetivo general: establecer medidas para “lograr un elevado nivel común de seguridad
de las redes y sistemas de información dentro de la Unión a fin de mejorar el funcionamiento
del mercado interior” (art 1.1).
• realizar “un planteamiento global en la UE que integre requisitos mínimos comunes en

materia de desarrollo de capacidades y planificación, intercambio de información,
cooperación y requisitos comunes de seguridad para los operadores de servicios esenciales
y los proveedores de servicios digitales” (Considerando 6).
► Directiva 2016/1148 NIS o de Ciberseguridad
• Destinatarios: “debe aplicarse tanto a los operadores de servicios esenciales como a los
proveedores de servicios digitales”, pero no a las empresas que suministren redes
públicas de comunicaciones o presten servicios de comunicaciones electrónicas disponibles
para el público, ni a los prestadores de servicios de confianza definidos en el Reglamento
(UE) n.º 910/2014 del Parlamento Europeo y del Consejo que están sujetos a los requisitos
de seguridad establecidos en dicho Reglamento. (Considerando 7).
• Operadores de Servicios Esenciales: “A más tardar el 9 de noviembre de 2018, los

Estados miembros identificarán a los operadores de servicios esenciales establecidos en su
territorio para cada sector y subsector mencionados en el anexo II” (art 5).
► Objetivos concretos(art 1.2)
• Establece obligaciones para todos los estados miembros de adoptar una estrategia
nacional de seguridad de las redes y sistemas de información.
• Crea un grupo de cooperación para apoyar y facilitar la cooperación estratégica y el
intercambio de información entre los estados miembros y desarrollar la confianza y
seguridad entre ellos.
• Crea una red de equipos de respuesta a incidentes de seguridad informática (en lo
sucesivo red de CSIRT (computer security incident response teams) con el fin de contribuir
al desarrollo de la confianza y seguridad entre los estados miembros y promover una
cooperación operativa rápida y eficaz.
• Establece requisitos en materia de seguridad y notificación para los operadores de

servicios esenciales y para los proveedores de servicios digitales.
• Establece obligaciones para que los estados miembros designen autoridades nacionales
competentes, puntos de contacto únicos y CSIRT con funciones relacionadas con la
seguridad de las redes y sistemas de información.
► RD Ley 12/2018 de seguridad de las redes y sistemas de información:
• Objeto: regular la seguridad de las redes y sistemas de información utilizados para la

provisión de los servicios esenciales y de los servicios digitales, y establecer un
sistema de notificación de incidentes.
• Se aplica a:
a) Los servicios esenciales dependientes de las redes y sistemas de información
comprendidos en los sectores estratégicos definidos en el anexo de la Ley
8/2011, de 28 de abril, por la que se establecen medidas para la protección de las
infraestructuras críticas.
b) Los servicios digitales, (servicios de la sociedad de la información) como
motores de búsqueda en línea y servicios de computación en nube.
Autoridades competentes(Art. 9):

• operadores de servicios esenciales:
• operadores críticos: Secretaría de Estado de Seguridad, del Ministerio del Interior, a
través del Centro Nacional de Protección de Infraestructuras y Ciberseguridad
(CNPIC).
• no sean operadores críticos: la autoridad sectorial correspondiente por razón de la
materia.
• proveedores de servicios digitales: Secretaría de Estado para el Avance Digital.
• operadores de servicios esenciales y proveedores de servicios digitales que no siendo
operadores críticos se encuentren comprendidos en el ámbito de aplicación de la Ley
40/2015: Ministerio de Defensa, a través del CCN.
• Punto de contacto único: El Consejo de Seguridad Nacional ejercerá, a través del

Departamento de Seguridad Nacional, una función de enlace para garantizar la
cooperación transfronteriza de:
• las autoridades competentes (artículo 9),
• con las autoridades competentes de otros Estados miembros de la UE,
• así como con el grupo de cooperación y la red de CSIRT.
• Obligaciones:
Realización de un AARR.
Implementación medidas derivadas del AARR.
Notificación de incidentes de seguridad a través del CSIRT de referencia.
• Equipos de respuesta a incidentes de seguridad informática de referencia
a) En lo concerniente a las relaciones con los operadores de servicios esenciales:
1.º El CCN-CERT, del Centro Criptológico Nacional, al que corresponde la comunidad de

referencia constituida por las entidades del ámbito subjetivo de aplicación de la Ley 40/2015, de
1 de octubre.
2.º El INCIBE-CERT, del Instituto Nacional de Ciberseguridad de España, al que corresponde la
comunidad de referencia constituida por aquellas entidades no incluidas en el ámbito subjetivo
de aplicación de la Ley 40/2015, de 1 de octubre.
El INCIBE-CERT será operado conjuntamente por el INCIBE y el CNPIC en todo lo que se
refiera a la gestión de incidentes que afecten a los operadores críticos.
• Equipos de respuesta a incidentes de seguridad informática de referencia
3.º El ESPDEF-CERT, del Ministerio de Defensa, que cooperará con el CCN-CERT y el INCIBE-
CERT en aquellas situaciones que éstos requieran en apoyo de los operadores de servicios
esenciales y, necesariamente, en aquellos operadores que tengan incidencia en la Defensa
Nacional y que reglamentariamente se determinen.
b) En lo concerniente a las relaciones con los proveedores de servicios digitales que no

estuvieren comprendidos en la comunidad de referencia del CCN-CERT: el INCIBE-CERT.
El INCIBE-CERT será, así mismo, equipo de respuesta a incidentes de referencia para los
ciudadanos, entidades de derecho privado y otras entidades no incluidas anteriormente en
este apartado 1.
 Notificación de incidentes (art 19):

Los operadores de servicios esenciales y notificarán a la autoridad competente, a través del CSIRT
de referencia, los incidentes que puedan tener efectos perturbadores significativos en dichos
servicios.
Por otro lado, los proveedores de servicios digitales notificarán a la autoridad competente, a través
del CSIRT de referencia, los incidentes que tengan efectos perturbadores significativos en dichos
servicios.
La obligación de la notificación del incidente únicamente se aplicará cuando el proveedor de servicios

digitales tenga acceso a la información necesaria para valorar el impacto de un incidente.
 Notificación de incidentes (art 19):

“Las notificaciones tanto de operadores de servicios esenciales como de proveedores de servicios
digitales se referirán a los incidentes que afecten a las redes y sistemas de información empleados
en la prestación de los servicios indicados, tanto si se trata de redes y servicios propios como si lo son
de proveedores externos, incluso si éstos son proveedores de servicios digitales sometidos a este real
decreto-ley” (19.3)
Las autoridades competentes y los CSIRT de referencia utilizarán una plataforma común para
facilitar y automatizar los procesos de notificación, comunicación e información sobre incidentes”
(19.4)
► Real Decreto 43/2021, de 26 de enero, por el que se desarrolla el Real Decreto-ley

12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información:
Formaliza las obligaciones que corresponden a los denominados servicios esenciales.
• Formaliza la figura del Responsable de Seguridad.

• Determina el procedimiento de notificación de incidentes mediante una instrucción
técnica y define tanto la taxonomía de clasificación como la valoración de impactos.
• Se definen los criterios de supervisión y las actuaciones inspectoras que sean precisas para
el ejercicio de su función de control.
► Real Decreto 43/2021, de 26 de enero, por el que se desarrolla el Real Decreto-ley 12/2018, de 7 de
 Requisitos de Seguridad
Los operadores de servicios esenciales “deberán aprobar unas políticas de seguridad de las redes y
sistemas de información, atendiendo a los principios de seguridad integral, gestión de riesgos, prevención,
respuesta y recuperación, líneas de defensa, reevaluación periódica y segregación de tareas.
Dichas políticas considerarán, como mínimo, los siguientes aspectos:

► Real Decreto 43/2021, de 26 de enero, por el que se desarrolla el Real Decreto-ley 12/2018, de 7 de
a) Análisis y gestión de riesgos.

b) Gestión de riesgos de terceros o proveedores.
c) Catálogo de medidas de seguridad, organizativas, tecnológicas y físicas.
d) Gestión del personal y profesionalidad.
e) Adquisición de productos o servicios de seguridad.
f) Detección y gestión de incidentes.
g) Planes de recuperación y aseguramiento de la continuidad de las operaciones.
h) Mejora continua.
i) Interconexión de sistemas.
j) Registro de la actividad de los usuarios” (art 6.2).
► Real Decreto 43/2021, de 26 de enero, por el que se desarrolla el Real Decreto-ley

12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información:
La relación de medidas adoptadas se formalizará en un documento denominado Declaración

de Aplicabilidad de medidas de seguridad, que será suscrito por el responsable de seguridad
de la información y que se incluirá en la política de seguridad que apruebe la Dirección (art
6.4).
Los operadores de servicios esenciales designarán una persona, unidad u órgano colegiado,
responsable de la seguridad de la información que ejercerá las funciones de punto de contacto
y coordinación técnica con la autoridad competente y CSIRT de referencia que le corresponda.
Unidad u órgano colegiado: se deberá designar una persona física representante, así como un sustituto
de este que asumirá sus funciones en casos de ausencia, vacante o enfermedad.
► Real Decreto 43/2021, de 26 de enero, por el que se desarrolla el Real Decreto-ley 12/2018, de 7
de septiembre, de seguridad de las redes y sistemas de información:
Plazo: tres meses desde su designación como operador de servicios esenciales.

Se comunicarán a la autoridad competente respectiva la designación (3 meses), así como los
nombramientos y ceses en el plazo de un mes desde que aquellos se produzcan.
Funciones:
• Actuar como punto de contacto con la autoridad competente en materia de supervisión de los
requisitos de seguridad de las redes y sistemas de información,
• Actuar como punto de contacto especializado para la coordinación de la gestión de los incidentes con
el CSIRT de referencia;
Funciones:
• Remitir a la autoridad competente, a través del CSIRT de referencia y sin dilación indebida, las
notificaciones de incidentes que tengan efectos perturbadores en la prestación de los servicios a los
que se refiere el artículo 19.1 del Real Decreto-ley 12/2018, de 7 de septiembre.
• Elaborar y proponer para aprobación por la organización, las políticas de seguridad, que incluirán las
medidas técnicas y organizativas, adecuadas y proporcionadas, para gestionar los riesgos que se
planteen para la seguridad de las redes y sistemas de información utilizados y para prevenir y reducir
al mínimo los efectos de los ciberincidentes que afecten a la organización y los servicios, de
conformidad con lo dispuesto en el artículo 6.
Funciones:
• Supervisar y desarrollar la aplicación de las políticas de seguridad, normativas y procedimientos
derivados de la organización, supervisar su efectividad y llevar a cabo controles periódicos de
seguridad.
• Elaborar el documento de Declaración de Aplicabilidad de medidas de seguridad (artículo 6.3 párrafo
segundo);
• Actuar como capacitador de buenas prácticas en seguridad de las redes y sistemas de información,
tanto en aspectos físicos como lógicos.
Funciones:
• Recibir, interpretar y supervisar la aplicación de las instrucciones y guías emanadas de la autoridad
competente, tanto para la operativa habitual como para la subsanación de las deficiencias
observadas.
• Recopilar, preparar y suministrar información o documentación a la autoridad competente o el CSIRT
de referencia, a su solicitud o por propia iniciativa.
 Requisitos del Responsable de Seguridad (art 7.4)
“a) Contar con personal con conocimientos especializados y experiencia en materia de

ciberseguridad, desde los puntos de vista organizativo, técnico y jurídico, adecuados al desempeño de
las funciones indicadas en el apartado anterior.
b) Contar con los recursos necesarios para el desarrollo de dichas funciones.
c) Ostentar una posición en la organización que facilite el desarrollo de sus funciones, participando de
forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la seguridad, y manteniendo
una comunicación real y efectiva con la alta dirección.
 Requisitos del Responsable de Seguridad (art 7.4)

d) Mantener la debida independencia respecto de los responsables de las redes y los sistemas de
información”.
Siempre que se reúnan los requisitos necesarios, la figura será compatible con las señaladas para el
Responsable de Seguridad y Enlace y el Responsable de Seguridad del Esquema Nacional de
Seguridad.
► Cómo combate la UE las amenazas cibernéticas:
Respuesta de la UE a los retos en Cooperación en materia de

materia de ciberseguridad ciberdefensa
Una Europa ciberresiliente Financiación e investigación
Lucha de la UE contra la Ciberseguridad de las

ciberdelincuencia infraestructuras críticas
Impulsar la ciberdiplomacia
► Cómo combate la UE las amenazas cibernéticas:
Una Europa ciberresiliente
o Estrategia de ciberseguridad de la UE
o Reglamento sobre Ciberseguridad de la UE (CRA)
o Agencia de la UE para la Ciberseguridad
o Nueva Directiva NIS 2 (SRI2) Directiva sobre las redes y sistemas de información
o Nueva Directiva sobre la resiliencia de las entidades críticas.
► Propuesta de nueva Directiva NIS 2. Novedades:
a) Ampliación del ámbito de aplicación: Se introducen nuevos sectores y se introduce un límite de

tamaño de modo que todas las empresas de dichos sectores medianas y grandes, quedan incluidas en su
ámbito de aplicación
b) Eliminación de la distinción entre operadores de servicios esenciales y proveedores de servicios

digitales: El Considerando 7 afirma que “Las normas no deben ser diferentes según las entidades sean
operadores de servicios esenciales o proveedores de servicios digitales. Dicha diferenciación ha quedado
obsoleta, ya que no refleja la importancia real de los sectores o servicios para las actividades sociales y
económicas en el mercado interior”.
c) Gestión de riesgos: Las medidas garantizarán un nivel de seguridad de las redes y sistemas de
información adecuado en relación con el riesgo planteado.
d) Procedimiento de notificación de incidentes: Notificar, sin demora indebida, a las autoridades

competentes o al CSIRT cualquier incidente que tenga un impacto significativo en la prestación de sus
servicios.
e) Refuerzo de la seguridad de las cadenas de suministro “críticas”: Los Estados miembros realizarán
evaluaciones de impacto coordinadas de las cadenas de suministro críticas. La Comisión, tras consultar al
Grupo de Cooperación y a la ENISA, delimitará los servicios, sistemas o productos de TIC críticos específicos
que podrán ser objeto de la evaluación coordinada de riesgos.
f) Supervisión y sanciones: Las autoridades nacionales aplicarán medidas de supervisión más rigurosas y se
busca la armonización de los regímenes sancionadores de los estados miembros
g) Intercambio de información y cooperación entre los estados miembros: Se establece un Grupo de

Cooperación a fin de apoyar y facilitar la cooperación estratégica y el intercambio de información entre los
Estados miembros en el ámbito de aplicación de la Directiva”. Estará formado por representantes de los Estados
miembros, la Comisión y la ENISA.
► Reglamento sobre Ciberseguridad de la UE (CRA)
Objeto (art 1):

a)normas para la introducción en el mercado de productos con elementos digitales a fin de
garantizar la ciberseguridad de dichos productos;
b)requisitos esenciales para el diseño, el desarrollo y la fabricación de productos con elementos
digitales y las obligaciones de los operadores económicos en relación con dichos productos, en lo que
respecta a la ciberseguridad;
c)requisitos esenciales para los procesos de gestión de la vulnerabilidad establecidos por los
fabricantes para garantizar la ciberseguridad de los productos con elementos digitales a lo largo de
todo el ciclo de vida, y las obligaciones de los operadores económicos en relación con dichos
procesos;
d)normas relativas a la vigilancia del mercado y a la aplicación de los requisitos y las normas antes
mencionados.
Ámbito de aplicación (Art 2)

aplicable a los productos con elementos digitales cuyo uso previsto o
razonablemente previsible incluya una conexión de datos directa o indirecta,
lógica o física, a un dispositivo o red.
Obligaciones de los fabricantes:

• llevarán a cabo una evaluación de los riesgos de ciberseguridad
• Antes de introducir en el mercado un producto con elementos digitales, los fabricantes elaborarán la
documentación técnica especificada en el artículo 23.
• También aplicarán o mandarán aplicar los procedimientos de evaluación de la conformidad de su
elección a que se hace referencia en el artículo 24.
Requisitos aplicables a los productos con elementos digitales (Art 5)
Solo se procederá a la comercialización de los productos con elementos digitales si:
1)cumplen los requisitos esenciales de ciberseguridad (sección 1 del anexo I), a condición de que hayan
sido instalados de manera adecuada, mantenidos y utilizados para los fines previstos o en condiciones que
se puedan prever razonablemente y, en su caso, actualizados, y si
2)los procesos establecidos por el fabricante cumplen los requisitos esenciales de Gestión de las
vulnerabilidades (sección 2 del anexo I).
Sistemas de IA de alto riesgo (Propuesta de Reglamento de IA) Art 8

Productos críticos con elementos digitales (Art 6)

productos con elementos digitales que pertenezcan a una categoría mencionada en el Anexo III
Clase II
Clase I 1.Sistemas operativos para servidores, ordenadores
1.Programas informáticos de sistemas de gestión de la identidad de mesa y dispositivos móviles;
y programas informáticos de gestión de accesos privilegiados; 2.Hipervisores y sistemas en tiempo de ejecución de
2.Navegadores independientes e integrados; contenedores que permitan la ejecución virtualizada
3.Gestores de contraseñas; de sistemas operativos y entornos similares;
4.Programas informáticos que busquen, eliminen o pongan en 3.Infraestructuras públicas clave y emisores de
cuarentena programas maliciosos; certificados digitales;
5.Productos con elementos digitales que ejerzan la función de 4.Cortafuegos y sistemas de detección o prevención
red privada virtual (VPN); de intrusiones destinados a un uso industrial;
6.Sistemas de gestión de redes; 5.Microprocesadores de uso general;
7.Herramientas de gestión de la configuración de las redes; 6.Microprocesadores destinados a su integración en
controladores lógicos programables y elementos
seguros;
Prof.ª Dra. María Loza Corera
El Esquema Nacional de Seguridad
Muchas gracias por

tu atención

Tema 3 Normativa Ciber PDF

Cargado por

Información del documento

Descripción original:

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Tema 3 Normativa Ciber PDF

Cargado por

Copyright:

Formatos disponibles

Máster Universitario en

Ciberdelitos y regulación de la ciberseguridad Ciberseguridad

NORMATIVA EN MATERIA DE CIBERSEGURIDAD

Real Decreto 43/2021, desarrolla el Real Decreto-ley 12/2018, de 7 de

Afecta a los calificados como “servicios esenciales” según el RDLey

• realizar “un planteamiento global en la UE que integre requisitos mínimos comunes en

► Directiva 2016/1148 NIS o de Ciberseguridad

• Operadores de Servicios Esenciales: “A más tardar el 9 de noviembre de 2018, los

► Directiva 2016/1148 NIS o de Ciberseguridad

► Objetivos concretos(art 1.2)

► Directiva 2016/1148 NIS o de Ciberseguridad

• Establece requisitos en materia de seguridad y notificación para los operadores de

► RD Ley 12/2018 de seguridad de las redes y sistemas de información:

• Objeto: regular la seguridad de las redes y sistemas de información utilizados para la

► RD Ley 12/2018 de seguridad de las redes y sistemas de información:

Autoridades competentes(Art. 9):

► RD Ley 12/2018 de seguridad de las redes y sistemas de información:

• Punto de contacto único: El Consejo de Seguridad Nacional ejercerá, a través del

► RD Ley 12/2018 de seguridad de las redes y sistemas de información:

• Equipos de respuesta a incidentes de seguridad informática de referencia

a) En lo concerniente a las relaciones con los operadores de servicios esenciales:

1.º El CCN-CERT, del Centro Criptológico Nacional, al que corresponde la comunidad de

► RD Ley 12/2018 de seguridad de las redes y sistemas de información:

• Equipos de respuesta a incidentes de seguridad informática de referencia

b) En lo concerniente a las relaciones con los proveedores de servicios digitales que no

► RD Ley 12/2018 de seguridad de las redes y sistemas de información:

 Notificación de incidentes (art 19):

La obligación de la notificación del incidente únicamente se aplicará cuando el proveedor de servicios

► RD Ley 12/2018 de seguridad de las redes y sistemas de información:

 Notificación de incidentes (art 19):

► Real Decreto 43/2021, de 26 de enero, por el que se desarrolla el Real Decreto-ley

Formaliza las obligaciones que corresponden a los denominados servicios esenciales.

• Formaliza la figura del Responsable de Seguridad.

Dichas políticas considerarán, como mínimo, los siguientes aspectos:

a) Análisis y gestión de riesgos.

► Real Decreto 43/2021, de 26 de enero, por el que se desarrolla el Real Decreto-ley

La relación de medidas adoptadas se formalizará en un documento denominado Declaración

Plazo: tres meses desde su designación como operador de servicios esenciales.

 Requisitos del Responsable de Seguridad (art 7.4)

“a) Contar con personal con conocimientos especializados y experiencia en materia de

b) Contar con los recursos necesarios para el desarrollo de dichas funciones.

 Requisitos del Responsable de Seguridad (art 7.4)

► Cómo combate la UE las amenazas cibernéticas:

Respuesta de la UE a los retos en Cooperación en materia de

Una Europa ciberresiliente Financiación e investigación

Lucha de la UE contra la Ciberseguridad de las

► Cómo combate la UE las amenazas cibernéticas:

Una Europa ciberresiliente

► Propuesta de nueva Directiva NIS 2. Novedades:

a) Ampliación del ámbito de aplicación: Se introducen nuevos sectores y se introduce un límite de

b) Eliminación de la distinción entre operadores de servicios esenciales y proveedores de servicios

d) Procedimiento de notificación de incidentes: Notificar, sin demora indebida, a las autoridades

g) Intercambio de información y cooperación entre los estados miembros: Se establece un Grupo de

► Reglamento sobre Ciberseguridad de la UE (CRA)

Objeto (art 1):

► Reglamento sobre Ciberseguridad de la UE (CRA)

Ámbito de aplicación (Art 2)

Obligaciones de los fabricantes:

► Reglamento sobre Ciberseguridad de la UE (CRA)

Requisitos aplicables a los productos con elementos digitales (Art 5)

Solo se procederá a la comercialización de los productos con elementos digitales si:

Sistemas de IA de alto riesgo (Propuesta de Reglamento de IA) Art 8