Documentos de Académico
Documentos de Profesional
Documentos de Cultura
► Directiva 2016/1148 NIS o de Ciberseguridad (Directiva (UE) 2016/1148, de 6 de julio de 2016, relativa
a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de
información en la Unión)
• Objetivo general: establecer medidas para “lograr un elevado nivel común de seguridad
de las redes y sistemas de información dentro de la Unión a fin de mejorar el funcionamiento
del mercado interior” (art 1.1).
• Destinatarios: “debe aplicarse tanto a los operadores de servicios esenciales como a los
proveedores de servicios digitales”, pero no a las empresas que suministren redes
públicas de comunicaciones o presten servicios de comunicaciones electrónicas disponibles
para el público, ni a los prestadores de servicios de confianza definidos en el Reglamento
(UE) n.º 910/2014 del Parlamento Europeo y del Consejo que están sujetos a los requisitos
de seguridad establecidos en dicho Reglamento. (Considerando 7).
• Establece obligaciones para todos los estados miembros de adoptar una estrategia
nacional de seguridad de las redes y sistemas de información.
• Crea un grupo de cooperación para apoyar y facilitar la cooperación estratégica y el
intercambio de información entre los estados miembros y desarrollar la confianza y
seguridad entre ellos.
• Crea una red de equipos de respuesta a incidentes de seguridad informática (en lo
sucesivo red de CSIRT (computer security incident response teams) con el fin de contribuir
al desarrollo de la confianza y seguridad entre los estados miembros y promover una
cooperación operativa rápida y eficaz.
Máster Universitario en
Normativa en materia de ciberseguridad Ciberseguridad
• Se aplica a:
a) Los servicios esenciales dependientes de las redes y sistemas de información
comprendidos en los sectores estratégicos definidos en el anexo de la Ley
8/2011, de 28 de abril, por la que se establecen medidas para la protección de las
infraestructuras críticas.
b) Los servicios digitales, (servicios de la sociedad de la información) como
motores de búsqueda en línea y servicios de computación en nube.
Máster Universitario en
Normativa en materia de ciberseguridad Ciberseguridad
• Obligaciones:
Realización de un AARR.
Implementación medidas derivadas del AARR.
Notificación de incidentes de seguridad a través del CSIRT de referencia.
Máster Universitario en
Normativa en materia de ciberseguridad Ciberseguridad
3.º El ESPDEF-CERT, del Ministerio de Defensa, que cooperará con el CCN-CERT y el INCIBE-
CERT en aquellas situaciones que éstos requieran en apoyo de los operadores de servicios
esenciales y, necesariamente, en aquellos operadores que tengan incidencia en la Defensa
Nacional y que reglamentariamente se determinen.
El INCIBE-CERT será, así mismo, equipo de respuesta a incidentes de referencia para los
ciudadanos, entidades de derecho privado y otras entidades no incluidas anteriormente en
este apartado 1.
Máster Universitario en
Normativa en materia de ciberseguridad Ciberseguridad
Por otro lado, los proveedores de servicios digitales notificarán a la autoridad competente, a través
del CSIRT de referencia, los incidentes que tengan efectos perturbadores significativos en dichos
servicios.
Las autoridades competentes y los CSIRT de referencia utilizarán una plataforma común para
facilitar y automatizar los procesos de notificación, comunicación e información sobre incidentes”
(19.4)
Máster Universitario en
Normativa en materia de ciberseguridad Ciberseguridad
► Real Decreto 43/2021, de 26 de enero, por el que se desarrolla el Real Decreto-ley 12/2018, de 7 de
septiembre, de seguridad de las redes y sistemas de información:
Requisitos de Seguridad
Los operadores de servicios esenciales “deberán aprobar unas políticas de seguridad de las redes y
sistemas de información, atendiendo a los principios de seguridad integral, gestión de riesgos, prevención,
respuesta y recuperación, líneas de defensa, reevaluación periódica y segregación de tareas.
► Real Decreto 43/2021, de 26 de enero, por el que se desarrolla el Real Decreto-ley 12/2018, de 7 de
septiembre, de seguridad de las redes y sistemas de información:
► Real Decreto 43/2021, de 26 de enero, por el que se desarrolla el Real Decreto-ley 12/2018, de 7
de septiembre, de seguridad de las redes y sistemas de información:
► Real Decreto 43/2021, de 26 de enero, por el que se desarrolla el Real Decreto-ley 12/2018, de 7
de septiembre, de seguridad de las redes y sistemas de información:
Funciones:
• Remitir a la autoridad competente, a través del CSIRT de referencia y sin dilación indebida, las
notificaciones de incidentes que tengan efectos perturbadores en la prestación de los servicios a los
que se refiere el artículo 19.1 del Real Decreto-ley 12/2018, de 7 de septiembre.
• Elaborar y proponer para aprobación por la organización, las políticas de seguridad, que incluirán las
medidas técnicas y organizativas, adecuadas y proporcionadas, para gestionar los riesgos que se
planteen para la seguridad de las redes y sistemas de información utilizados y para prevenir y reducir
al mínimo los efectos de los ciberincidentes que afecten a la organización y los servicios, de
conformidad con lo dispuesto en el artículo 6.
Máster Universitario en
Normativa en materia de ciberseguridad Ciberseguridad
► Real Decreto 43/2021, de 26 de enero, por el que se desarrolla el Real Decreto-ley 12/2018, de 7
de septiembre, de seguridad de las redes y sistemas de información:
Funciones:
• Supervisar y desarrollar la aplicación de las políticas de seguridad, normativas y procedimientos
derivados de la organización, supervisar su efectividad y llevar a cabo controles periódicos de
seguridad.
• Elaborar el documento de Declaración de Aplicabilidad de medidas de seguridad (artículo 6.3 párrafo
segundo);
• Actuar como capacitador de buenas prácticas en seguridad de las redes y sistemas de información,
tanto en aspectos físicos como lógicos.
Máster Universitario en
Normativa en materia de ciberseguridad Ciberseguridad
► Real Decreto 43/2021, de 26 de enero, por el que se desarrolla el Real Decreto-ley 12/2018, de 7
de septiembre, de seguridad de las redes y sistemas de información:
Funciones:
• Recibir, interpretar y supervisar la aplicación de las instrucciones y guías emanadas de la autoridad
competente, tanto para la operativa habitual como para la subsanación de las deficiencias
observadas.
• Recopilar, preparar y suministrar información o documentación a la autoridad competente o el CSIRT
de referencia, a su solicitud o por propia iniciativa.
Máster Universitario en
Normativa en materia de ciberseguridad Ciberseguridad
► Real Decreto 43/2021, de 26 de enero, por el que se desarrolla el Real Decreto-ley 12/2018, de 7
de septiembre, de seguridad de las redes y sistemas de información:
c) Ostentar una posición en la organización que facilite el desarrollo de sus funciones, participando de
forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la seguridad, y manteniendo
una comunicación real y efectiva con la alta dirección.
Máster Universitario en
Normativa en materia de ciberseguridad Ciberseguridad
► Real Decreto 43/2021, de 26 de enero, por el que se desarrolla el Real Decreto-ley 12/2018, de 7
de septiembre, de seguridad de las redes y sistemas de información:
Siempre que se reúnan los requisitos necesarios, la figura será compatible con las señaladas para el
Responsable de Seguridad y Enlace y el Responsable de Seguridad del Esquema Nacional de
Seguridad.
Máster Universitario en
Normativa en materia de ciberseguridad Ciberseguridad
Impulsar la ciberdiplomacia
Máster Universitario en
Normativa en materia de ciberseguridad Ciberseguridad
o Estrategia de ciberseguridad de la UE
o Reglamento sobre Ciberseguridad de la UE (CRA)
o Agencia de la UE para la Ciberseguridad
o Nueva Directiva NIS 2 (SRI2) Directiva sobre las redes y sistemas de información
o Nueva Directiva sobre la resiliencia de las entidades críticas.
Máster Universitario en
Normativa en materia de ciberseguridad Ciberseguridad
c) Gestión de riesgos: Las medidas garantizarán un nivel de seguridad de las redes y sistemas de
información adecuado en relación con el riesgo planteado.
Máster Universitario en
Normativa en materia de ciberseguridad Ciberseguridad
e) Refuerzo de la seguridad de las cadenas de suministro “críticas”: Los Estados miembros realizarán
evaluaciones de impacto coordinadas de las cadenas de suministro críticas. La Comisión, tras consultar al
Grupo de Cooperación y a la ENISA, delimitará los servicios, sistemas o productos de TIC críticos específicos
que podrán ser objeto de la evaluación coordinada de riesgos.
f) Supervisión y sanciones: Las autoridades nacionales aplicarán medidas de supervisión más rigurosas y se
busca la armonización de los regímenes sancionadores de los estados miembros
1)cumplen los requisitos esenciales de ciberseguridad (sección 1 del anexo I), a condición de que hayan
sido instalados de manera adecuada, mantenidos y utilizados para los fines previstos o en condiciones que
se puedan prever razonablemente y, en su caso, actualizados, y si
2)los procesos establecidos por el fabricante cumplen los requisitos esenciales de Gestión de las
vulnerabilidades (sección 2 del anexo I).