El pasado 28 de enero se publicó en el BOE, el Real Decreto 43/2021, de 26 de enero, por el que se desarrolla el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información (RD 43/2021), entrando en vigor al día siguiente. El Real Decreto-ley 12/2018 transpuso la llamada Directiva NIS (Directiva (UE) 2016/1148 de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión) a nuestro ordenamiento jurídico. Lo cierto es que esa transposición ya se produjo después del plazo establecido, y en esta ocasión, la necesaria concreción del Real Decreto-ley que ahora se aborda, ha necesitado de dos años más desde la publicación de este para hacerse realidad. 

Como veremos más adelante, esta normativa debe analizarse en absoluta interdependencia de la Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas (Ley 8/2011) y de su reglamento de desarrollo. 

1. ¿Quiénes son los sujetos obligados por la norma? 

Las obligaciones en materia de ciberseguridad atañen tanto a (a) los operadores de servicios esenciales dependientes de las redes y sistemas de información de sectores estratégicos establecidos en España (Operadores), como a (b) los prestadores de servicios digitales, en concreto, los consistentes en mercados en línea, motores de búsqueda y servicios de computación en nube con sede social en España (Prestadores). 

Se excluyen tanto (a) las actividades de explotación de redes, servicios de comunicaciones electrónicas y prestadores de servicios electrónicos de confianza que “no sean designados como operadores críticos en virtud de la Ley 8/2011” (artículo 2.3 a)) como (b) pequeñas empresas y microempresas (aquellas con menos de 50 trabajadores o menos de 10 millones de euros de facturación). 

La Ley 8/2011 categoriza los siguientes sectores como estratégicos: (a) sector público, (b) transporte, (c) energía, (d) telecomunicaciones, (e) financiero, (f) espacial, (g) industria química, (h) investigación, (i) salud, (j) agua (k) alimentación e (l) industria nuclear. El RD 43/2021 recoge esta categorización, si bien obvia al sector público, no sujeto a su ámbito de actuación. Esta propia Ley 8/2011, en su artículo 2, determina qué Operador debe considerarse crítico: aquellos que sean responsables de infraestructuras críticas, siendo a su vez éstas las “infraestructuras estratégicas cuyo funcionamiento es indispensable y no permite soluciones alternativas, por lo que su perturbación o destrucción tendría un grave impacto sobre los servicios esenciales”; por otra parte, el artículo 6.1 del Real Decreto-ley 12/2018 nos indica que un Operador será considerado “esencial” si un incidente de seguridad a él referido “puede llegar a tener efectos perturbadores significativos”.

2. Autoridades competentes y CSIRT de referencia 

El RD 43/2021 se remite en este asunto, con carácter general, al Real Decreto-ley 12/2018; eso sí, y con carácter específico, concreta las autoridades competentes en estas materias respecto a Operadores no críticos que tampoco sean sector público (que ya contaban, respectivamente, con el CNPIC-CSIRT, el Centro Nacional de Protección de Infraestructuras y Ciberseguridad, dependiente del Ministerio del Interior, y el CCN-CERT, el Centro Criptológico Nacional dependiente del Centro Nacional de Inteligencia). En su mayoría, estas autoridades, supervisoras de Operadores y Prestadores, se corresponden con las secretarías de estado (o secretarías generales) sectoriales, salvo en ámbitos como el sistema financiero, el sector de la alimentación o la industria nuclear, en los que se incluyen también organismos de relevancia en el sector, como el Banco de España, la Agencia Española de Seguridad Alimentaria y Nutrición (AESAN) o el Consejo de Seguridad Nuclear. 

Los equipos de respuesta a incidentes de seguridad informática (CERT o CSIRT, por sus siglas en inglés) son los encargados de reaccionar ante las amenazas en ciberseguridad que notifiquen Operadores y Prestadores. En varios supuestos, solapan sus competencias como autoridad competente y CSIRT de referencia, cuestión que el RD 43/2021 ha reproducido. 

3. Cooperación entre autoridades nacionales y transfronterizas 

El artículo 11 del RD 43/2021 materializa el mecanismo de cooperación entre los CSIRT de referencia y las autoridades competentes que preveía el Real Decreto-ley 12/2018 mediante la creación de la Plataforma Nacional de Notificación y Seguimiento de Ciberincidentes, orgánicamente engranada en el CCN-CERT. 

Además, este nuevo Real Decreto también designa al Departamento de Seguridad Nacional del Consejo de Seguridad Nacional como punto único de contacto. Será el enlace entre la Comisión Europea y los puntos de contacto del resto de la Unión Europea con los CSIRT de referencia y las autoridades competentes nacionales, a quien estas últimas remitirán el informe anual ya previsto en el artículo 27 del Real Decreto-ley 12/2018, y podrá aprobar orientaciones sobre el proceso de notificación.

4. Obligaciones de Operadores y Prestadores. En especial, la figura del CISO 

Las obligaciones esbozadas en el Título IV del Real Decreto-ley 12/2018 se ven desarrolladas por los artículos 6 y 7 del RD 43/2021; así, se prevé la aplicación general a los Operadores de servicios esenciales y a los Proveedores de servicios digitales, de “medidas técnicas y de organización adecuadas y proporcionadas para gestionar los riesgos que afecten a la seguridad”. Solo a los Operadores de servicios esenciales, se les exigirán (a) políticas de seguridad que incluyan aspectos como el análisis y gestión de riesgos o la detección y gestión de incidentes, (b) medidas de seguridad que incidan en la dependencia de redes y sistemas, (c) una Declaración de Aplicabilidad que detalle la relación de las medidas adoptadas a la autoridad competente y (d) medidas específicas que establezca la autoridad competente o para Operadores con entornos de sistemas de información especialmente complejos.

Con perfiles que recuerdan en gran medida los del Delegado de protección de datos de la legislación de privacidad, el RD 43/2021 obliga a los Operadores de servicios esenciales a crear la figura del “responsable de la seguridad de la información” (el comúnmente conocido en la industria como “CISO”), que actuará como enlace con la autoridad competente y el CSIRT de referencia. Este responsable deberá nombrarse a los tres meses de (a) la entrada en vigor del Decreto si ya es un Operador esencial, esto es, el 29 de abril de 2021, o (b) su designación como esencial. El artículo 7.4 del RD 43/2021 obliga a que el responsable reúna una serie de requisitos respecto a sus (a) conocimientos, (b) recursos, (c) funcionalidad, e (d) independencia.

5. Gestión de incidentes 

En precisión del Título V del Real Decreto-ley 12/2018, los artículos 8 a 14 del RD 43/2021 detallan la gestión de los incidentes de seguridad. Operadores y (ahora ya también) Prestadores deben (a) “gestionar y resolver los incidentes de seguridad que afecten a las redes y sistemas de información utilizados para la prestación de sus servicios”, sin que se traduzca en más procedimiento que el de notificación, que ahora veremos. Eso sí, Operadores y Prestadores podrán (b) solicitar voluntariamente ayuda a su CSIRT para gestionar sus incidentes; si bien deben (c) adoptar medidas específicas a la complejidad de sus sistemas, junto a las obligaciones específicas que les puedan imponer las autoridades competentes.

6. Notificación obligatoria 

Este real decreto desarrolla el procedimiento relativo a la notificación obligatoria, que se impone a los Operadores de servicios esenciales (no a los Proveedores de servicios digitales). Así, el responsable del Operador es quien notifica a la autoridad competente (a través de su CSIRT de referencia) aquellos incidentes con (a) posibles efectos perturbadores significativos cuyo nivel de impacto o peligrosidad sea crítico, alto o muy alto, o que (b) puedan potencialmente afectar a la prestación de los servicios esenciales. El RD 43/2021 incluye como Anexo, la Instrucción Nacional de Notificación y Gestión de Ciberincidentes, con el fin de orientar a este respecto a los responsables de los Operadores.

7. Supervisión e inspección 

El RD 43/2021 impone a Operadores y Prestadores, el deber de colaborar en la actuación supervisora de las autoridades competentes, en la que los CSIRT actuarán de asesor técnico de la autoridad competente. El artículo 15.4 del real decreto indica, por otro lado, que las actividades de inspección se ceñirán a controlar el cumplimiento de (a) normas e instrucciones técnicas, (b) las funciones del responsable, y (c) las medidas de seguridad. Pese a las importantes implicaciones de las actividades inspectoras, el RD 43/2021 vuelve a adolecer de inconcreción al respecto. A este efecto, resulta interesante el artículo 15.3, en cuanto indica que “El cumplimiento de las obligaciones de seguridad en las redes y sistemas de información podrá ser acreditado mediante la certificación en un esquema de seguridad que, previa consulta al CSIRT de referencia, sea reconocido por la autoridad competente”; el cumplimiento de los requisitos del Esquema Nacional de Seguridad (Real Decreto 3/2010, de 8 de enero , por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica) podría resultar muy útil en este sentido.

¿Debe, por otro lado, imputarse a un olvido que este real decreto no concrete la autoridad competente para la imposición de sanciones por infracciones graves y leves? El Real Decreto-Ley 12/2018 confería la facultad sancionatoria al ministro sectorialmente competente respecto de las muy graves, remitiendo encambio al “reglamento de desarrollo de este real decreto-ley”, qué autoridad debe imponer las graves y leves. 

8. Conclusión y valoración del Real Decreto 

Si algo evidencia este real decreto es que la ciberseguridad ha pasado a ser, en Europa y en España, una materia intensamente regulada. Por razones que todos conocemos, y entre las que destaca la absoluta dependencia actual de las tecnologías digitales, esto probablemente constituya una imperiosa necesidad. El RD 43/2021 viene, pues, a consagrar la ciberseguridad como una obligación más a la que, siguiendo las modernas pautas de compliance, deben ajustarse las empresas afectadas, muy al estilo de la privacidad, por ejemplo; y sin que ello deba sorprender, pues una y otra, ciberseguridad y privacidad, son, al fin y al cabo, las dos caras de una misma moneda. 

Justo por ello, debe saludarse que este real decreto haya venido a concretar (aun cuando sin despejar algunas del todo, desde luego) las muchas dudas sembradas por la indefinición del Real Decreto-Ley 12/2018.

Aunque si algo confirma lamentablemente este real decreto son las más relevantes deficiencias de la normativa española en esta materia, subsumibles en su muy compleja interpretación, favorecida por la dispersión normativa y, en mucha mayor medida aún, por la enorme cantidad de organismos públicos directa o indirectamente responsables de ella (cuestión particularmente delicada cuando de lo que se trata es de seguridad) y por los muy alambicados equilibrios de conceptos en los que en ocasiones se basa: como líneas atrás se ha visto, los adjetivos “crítico” (aplicables a operadores e infraestructuras), “estratégico” (aplicables a sectores e infraestructuras) o “esencial” (aplicables a operadores y servicios) son especialmente ilustrativos de esta idea, a la par que muestra de, en ocasiones, una excesiva imprecisión. 

Por otro lado, el Real Decreto-Ley del que este Real Decreto 43/2021 trae causa incorpora un severo régimen de sanciones (de hasta 1.000.000 de euros), cuya imposición puede conllevar efectos reputacionales muy negativos para los sujetos obligados, siendo éstos, en muchos casos, compañías de gran importancia a nivel nacional y con mucha visibilidad internacional, que incluso tienen emitidos valores que cotizan en mercados internacionales. Razón de más para que estas empresas afectadas presten atención máxima a esta nueva norma y, a la vista de los mermados plazos de adaptación que concede, comiencen a ajustarse a ella a la mayor brevedad.