Preguntas y respuestas sobre la declaración de aplicabilidad de medidas de seguridad conforme al RD 43/2021
El reciente RD 43/2021 que desarrolla el RD 12/2018 establece como una de las obligaciones para las entidades que operan como operadores de servicios esenciales y como proveedores de servicios digitales la obligación de contar con la declaración de aplicabilidad de medidas de seguridad. Esta obligación de tener establecida una declaración de aplicabilidad de medidas de seguridad no es nueva, sino que ya se recogía, por ejemplo, en estándares internacionales como la norma UNE ISO/IEC 27001 o en el Esquema Nacional de Seguridad.
Antes de nada, debemos definir qué es una declaración de aplicabilidad (Statement of Applicability, en inglés). Así, la Declaración de Aplicabilidad, es el documento en el que se formaliza la relación de medidas de seguridad que resultan de aplicación al sistema de información de que se trate.
¿Quién tiene la obligación de hacer la declaración de aplicabilidad de medidas de seguridad?
- Deberá contar con la declaración de aplicabilidad aquellas entidades que actúen como operadores de servicios esenciales y los proveedores de servicios digitales.
- Dentro de la organización, este documento se suscribe por el responsable de seguridad de la información.
Dentro de la documentación de la entidad ¿dónde se ubica la declaración de aplicabilidad?
Se debe ubicar dentro de la política de seguridad.
¿Se debe actualizar dicho documento?
Sí, deberá revisarse, al menos, cada 3 años.
¿A quién se debe remitir la Declaración?
La Declaración de Aplicabilidad se remitirá a las autoridades que tienen competencia, siempre en el plazo de 6 meses desde que se designe a la entidad como operador de servicios esenciales.
¿Se puede utilizar como referencia la Declaración de Aplicabilidad realizada en el marco del Esquema Nacional de Seguridad?
Sí, la normativa establece que puede utilizarse la Declaración de Aplicabilidad con relación a las medidas establecidas en el Esquema Nacional de Seguridad.
¿Y se podría utilizar la Declaración de Aplicabilidad realizada conforme a la UNE ISO/IEC 27001?
Sí, el RD establece expresamente que se pueden tener en cuenta otros estándares reconocidos internacionalmente, por lo que serviría perfectamente.
¿Tienes más incógnitas por resolver?
No dudes en contar con UBT Legal & Compliance.
- Ciberseguridad en el ámbito legal: Protegiendo la información en un mundo digital
- Protección legal del software
- Cómo actuar ante la falsificación de documentos informáticos en 4 pasos
- Prueba electrónica: Elemento clave en casos de acoso en rrss
- Cómo protegerse del phishing al hacer la declaración de la renta
- Extremadura impulsa el uso de la inteligencia artificial en su comunidad
