Un pas endavant en la ciberseguretat a les empreses

El Reial decret 43/2021 estableix noves obligacions per als operadors de serveis essencials i per als prestadors de serveis digitals.

S’ha aprovat el Reial decret 43/2021, que exigeix portar a terme accions de caràcter immediat a les empreses en l’àmbit de la ciberseguretat. Aquest decret suposa la necessitat d’adaptar i preparar les organitzacions al nou marc de la directiva NIS; en cas contrari es podrien derivar responsabilitats. A les microempreses o petites empreses que són proveïdores de serveis digitals no s’aplica aquesta normativa.

La norma és una eina per impulsar les iniciatives destinades a assolir un adequat nivell de seguretat a les empreses afectades, ja que passen a estar obligades a tenir un CISO, i estableix obligacions a dos grans grups d’organitzacions: les dels operadors de serveis essencials i les de prestadors de serveis digitals.

En la categoria d’operadors de serveis essencials s’inclouen administracions públiques, espai, indústria nuclear, indústria química, aigua, energia, salut, sistema financer, tecnologies de la informació i comunicacions, alimentació, transports i recerca.

Són operadors de serveis digitals els mercats en línia, els cercadors i els serveis informàtics al núvol.


Obligacions que estableix el Reial decret

Aquesta norma jurídica desenvolupa el Reial decret llei 12/2018, de seguretat de les xarxes i sistemes d’informació, i la directiva europea NIS (Security of Network and Information Systems), norma que parteix d’un enfocament global de la seguretat de les xarxes i sistemes d’informació en la Unió Europea.

Les principals obligacions que estableix el nou Reial decret 43/2021 són les següents:

  • Definir una política de seguretat de xarxes i sistemes adaptada a l’empesa i a les seves característiques.
  • Preparar i aprovar la Declaració d’Aplicabilitat per a ser lliurada a l’autoritat competent abans del juliol d’aquest any.
  • Establir una política de gestió de riscos respecte a proveïdors externs.
  • Establir una política i un protocol de notificacions d’incidents a l’autoritat competent.
  • Nomenar un CISO abans de l’abril del 2021 i establir un nou estatut jurídic per a aquesta figura que reculli les responsabilitats i funcions.

El decret afecta els operadors de xarxes i serveis de comunicacions electròniques i els prestadors de serveis electrònics de confiança designats com a operadors crítics en virtut de la Llei 8/2011, de 28 d’abril.


La figura del CISO

El nom de CISO prové de Chief Information Security Officer, és a dir, director de seguretat de la informació. Té un paper a nivell executiu i la seva funció principal és la d’alinear la seguretat de la informació amb els objectius de negoci. El seu rol ha de garantir que la informació de l’empresa està protegida adequadament en tot moment.

Un professional CISO acostuma a tenir una formació d’enginyeria informàtica, de telecomunicacions o similar. També ha de ser una persona amb coneixements legals i disposar d’alguna certificació internacional reconeguda en l’àmbit de la seguretat informàtica.

Aquesta funció pot estar incorporada dins de l’organització, però també es pot optar per externalitzar-la. Hi ha professionals CISO freelance i que poden treballar en remot.

En definitiva, el nou sistema té com a objectiu evitar el frau digital, i, per tant, generar més confiança en els compradors, fet que forçosament repercutirà positivament en el comerç electrònic.


Segons un informe de la consultora Gartner de l’any 2020, menys d’un 10% de les empreses disposen d’un comitè específic dedicat a temes relacionats amb la ciberseguretat, una xifra que augmentarà significativament els propers anys, i arribarà al 40% el 2025.