Ciberseguridad. Parte I

UD017861_V(01) MD.PlantillaTexto(04)Esp.
dot
CIBERSEGURIDAD. PARTE I
ÍNDICE
TU RETO EN ESTA UNIDAD ........................................................................ 3

1. CONSIDERACIONES PREVIAS................................................................ 5
2. DIRECTIVA (UE) 2016/1148 DEL PARLAMENTO EUROPEO
Y DEL CONSEJO, DE 6 DE JULIO DE 2016 ........................................... 12
3. REAL DECRETO-LEY 12/2018, DE 7 DE SEPTIEMBRE,
DE SEGURIDAD DE LAS REDES Y SISTEMAS DE INFORMACIÓN......... 15
3.1. ÁMBITO DE APLICACIÓN ............................................................................. 15
3.2. OBLIGACIONES DE SEGURIDAD .................................................................. 17
3.3. OBLIGACIÓN DE NOTIFICAR INCIDENTES DE SEGURIDAD ....................... 18
4. REAL DECRETO 43/2021, DE 26 DE ENERO, POR EL QUE SE
DESARROLLA EL REAL DECRETO-LEY 12/2018, DE 7
DE SEPTIEMBRE, DE SEGURIDAD DE LAS REDES Y SISTEMAS
DE INFORMACIÓN ............................................................................... 21
4.1. REQUISITOS DE SEGURIDAD ........................................................................ 21
4.1.1. MEDIDAS PARA EL CUMPLIMIENTO DE LAS OBLIGACIONES DE SEGURIDAD ...... 21
4.1.1.1. Medidas del Anexo II del Real Decreto 3/2010, de 8 de enero .............. 23
4.1.1.1.1. Medidas en el marco organizativo ................................................................ 23
4.1.1.1.2. Marco operacional.......................................................................................... 24
4.1.1.1.3. Medidas de protección................................................................................... 39
4.1.1.2. Medidas contempladas por el CNPIC ..................................................... 54
4.1.2. RESPONSABLE DE LA SEGURIDAD DE LA INFORMACIÓN ............................... 55
4.1.3. NOTIFICACIÓN DE LAS INCIDENCIAS .......................................................... 57
¿QUÉ HAS APRENDIDO? .......................................................................... 61
AUTOCOMPROBACIÓN............................................................................ 63
SOLUCIONARIO ....................................................................................... 71
BIBLIOGRAFÍA ......................................................................................... 73
1
TU RETO EN ESTA UNIDAD
En esta unidad didáctica vas a conocer la normativa aplicable en materia de ci-

berseguridad, en particular, el Real Decreto Ley 12/2018, de 7 de septiembre,
de seguridad de las redes y sistemas de información, y su Real Decreto 43/2021,
de 26 de enero, de desarrollo.
¿Sabes cuál es el objeto de estas leyes? ¿Y su concreto ámbito de aplicación? En

esta unidad didáctica vas a profundizar en estas y otras cuestiones, en especial,
en las obligaciones de seguridad en esta materia y en las medidas para el cum-
plimiento de los requisitos de seguridad.
¡Comenzamos!
3
1. CONSIDERACIONES PREVIAS
Para adentrarnos en el concepto de ciberseguridad, es conveniente detenerse a
valorar qué se entiende por ciberespacio.
Diccionario de la Lengua Española de la RAE.

Espacio o ámbito virtual creado por medios informá-
ticos.
Estrategia Nacional de Ciberseguridad de 2019
(Orden PCI/487/2019, de 26 de abril, aprobada
por el Consejo de Seguridad Nacional).
El ciberespacio es un espacio común global caracteri-
zado por su apertura funcional y su dinamismo. La au-
sencia de soberanía, su débil jurisdicción, la facilidad
de acceso y la dificultad de atribución de las acciones
que en él se desarrollan definen un escenario que
ofrece innumerables oportunidades de futuro, aunque
también presenta serios desafíos a la seguridad.
En palabras del propio Consejo de Seguridad Nacional, el ciberespacio se pre-

senta como un “campo de batalla” geopolítico, de reordenación del poder y em-
poderamiento individual, siendo los datos y la privacidad el bien de más valor, a
la vez que el arma más peligrosa.
5
En este sentido, la Estrategia Nacional de Ciberseguridad de 2019 (en adelante,

ENC19), concluye que España debe trabajar con todos los agentes que interac-
túan en la red para conseguir que el ciberespacio sea lo más seguro posible, lo
que implica aliarse con otros estados u organizaciones internacionales, pero
también con el sector privado. Y es que el sector privado juega un papel rele-
vante como uno de los gestores y propietarios de los activos digitales de Espa-
ña, por lo que las capacidades de ciberseguridad del país residen en gran medi-
da en las de sus empresas.
Por tanto, es necesario el apoyo, la promoción y la inversión en ciberseguridad

para impulsar la competitividad y el crecimiento económico, a la vez que pro-
porcionar un entorno digital seguro y fiable. A todo lo anterior se une la necesi-
dad de una mayor implicación de toda la sociedad mediante el fomento de una
cultura de ciberseguridad, para evolucionar desde la concienciación al compro-
miso, en el entendimiento de que el ciudadano es corresponsable de la ciberse-
guridad nacional.
En cuanto a los riesgos que plantea del ciberespacio, la ENC19 se refiere a las
ciber amenazas y las acciones que usan el ciberespacio como medio para
realizar actividades maliciosas o ilícitas.
Las ciber amenazas son todas aquellas disrupciones

o manipulaciones maliciosas que afectan a elemen-
tos tecnológicos. Abarcan un amplio abanico de ac-
ciones y se caracterizan por su diversidad tanto en lo
que concierne a capacidades como a motivaciones.
Afectan a la práctica totalidad de los ámbitos de la
Seguridad Nacional, como la Defensa Nacional, la se-
guridad económica o la protección de las infraestruc-
turas críticas, entre otros, y no distinguen fronteras.
En relación con la ciber amenazas, la ENC19 entiende que la seguridad de las

redes y sistemas de información requiere potenciar las medidas de prevención,
detección y respuesta, fomentando la seguridad por diseño y por defecto, que
debe estar incorporada tanto en el desarrollo de productos y servicios tecnoló-
gicos, como en su actualización o manera de utilización. Es decir, la ENC19 hace
un llamamiento a las empresas que desarrollan equipos electrónicos o a las
sociedades que prestan servicios de la información para que incorporen herra-
mientas que impidan o dificulten las ciber amenazas.
6
Entre estas herramientas destacan los mecanismos

similares al software Counterfeit Deterrence System o
CDS. Este software fue creado por el Central Bank
Counterfeit Deterrence Group o CBCDG y está instalado
en todos sus ordenadores e impresoras. Este pro-
grama se creó para identificar cualquier imagen de
un billete a los efectos de impedir que la misma sea
tratada, de manera que sea imposible imprimir o es-
canear un billete o editar una foto de un billete me-
diante photoshop.
Po otro lado, en cuanto a las acciones que usan el ciberespacio como medio
para realizar actividades maliciosas o ilícitas, la ENC19 se refiere fundamental-
mente a dos acciones en concreto: la cibercriminalidad y el ciberespionaje.
 Ciberespionaje. Conjunto de acciones coordinadas y sincronizadas di-

rigidas a atacar de manera deliberada las vulnerabilidades sistémicas
de los estados democráticos y las instituciones, a través de una amplia
gama de medios, tales como acciones militares tradicionales, ciberata-
ques, operaciones de manipulación de la información, o elementos de
presión económica. Actores estatales y no estatales, bien de forma di-
recta o a través de intermediarios, explotan las facilidades que ofrece
Internet para la desinformación y propaganda y un interés generalizado
en la obtención y desarrollo de capacidades militares para operar en el
ciberespacio, incluyendo en muchos casos capacidades ofensivas.
 Cibercriminalidad. Conjunto de actividades ilícitas cometidas en el ci-

berespacio que tienen por objeto los elementos, sistemas informáticos
o cualesquiera otros bienes jurídicos, siempre que en su planificación,
desarrollo y ejecución resulte determinante la utilización de herramien-
tas tecnológicas; en función de la naturaleza del hecho punible en sí, de
la autoría, de su motivación, o de los daños infligidos, se podrá hablar
así de ciberterrorismo, de ciberdelito, o en su caso, de hacktivismo.
7
Para conseguir un entorno seguro en el ciberespacio, la ENC19 propone varios

objetivos:
 Sociedades prestadoras de servicios de información. El sector pú-

blico y los operadores de servicios esenciales se deben involucrar acti-
vamente en un proceso de mejora continua respecto de la protección
de sus sistemas de Tecnologías de la Información y las Comunicaciones
basados en una vigilancia permanente de su exposición a las amena-
zas. Estos agentes deben servir como modelo de buenas prácticas en la
gestión de la ciberseguridad.
En aplicación del principio de responsabilidad compartida, el sector

público debe mantener estrechas relaciones con las empresas que ges-
tionan los Sistemas de Tecnologías de la Información y las Comunica-
ciones relevantes para los intereses nacionales, intercambiando el co-
nocimiento que permita una adecuada coordinación entre ambos y
una cooperación efectiva que genere una sinergia apropiada dentro del
entorno de la ciberseguridad.
El fortalecimiento de la ciberseguridad requiere un

conocimiento sistemático sobre el impacto de una
potencial interrupción o destrucción de las redes y
sistemas que proporcionan servicios esenciales, así
como métricas del nivel de seguridad de estos siste-
mas que permitan la oportuna toma de decisiones
según su grado de exposición.
 Sector privado. La ciberseguridad es una responsabilidad compartida

con los actores privados que, por acción u omisión, puedan afectarla; y
no es posible conseguirla sin su participación. Por tanto, entre las me-
didas a impulsar deben estar aquellas que conduzcan a la necesaria
cooperación para la seguridad común.
8
En relación con los objetivos anteriores, la ENC19 define las siguientes líneas de
actuación:
 Sociedades prestadoras de servicios de información:
 Ampliar y fortalecer las capacidades de prevención, detección,

respuesta, recuperación y resiliencia a los ciberataques dirigidos
al sector público, a los servicios esenciales y a empresas de inte-
rés estratégico.
 Potenciar el desarrollo de la normativa sobre protección de infra-

estructuras críticas, reforzando la seguridad de las redes y siste-
mas de información que las soportan.
 Asegurar la plena implantación del Esquema Nacional de Seguri-

dad, del Sistema de Protección de las Infraestructuras Críticas, y
el cumplimiento y armonización de la normativa sobre protección
de infraestructuras críticas y servicios esenciales, con un enfoque
prioritario basado en el riesgo.
 Potenciar, en el marco de sus competencias, la progresiva impli-

cación y creación de infraestructuras de ciberseguridad en las
Comunidades Autónomas, las Ciudades Autónomas, las Entidades
Locales y en sus organismos vinculados o dependientes que
cooperarán y se coordinarán con las estructuras nacionales en
pro de la mejora de la ciberseguridad nacional.
 Desarrollar el Centro de Operaciones de Ciberseguridad de la

Administración General del Estado que mejore las capacidades de
prevención, detección y respuesta, e impulsar el desarrollo de
centros de operaciones de ciberseguridad en el ámbito autonó-
mico y local.
 Reforzar la implantación de infraestructuras y servicios de tele-

comunicaciones y sistemas de información horizontales comunes,
y compartidos por las Administraciones Públicas, potenciando su
uso y sus capacidades de seguridad y resiliencia, asegurando a la
par, la coordinación con los primeros en aquellos casos que no se
utilicen las infraestructuras y servicios comunes.
 Impulsar el desarrollo de un sistema de métricas de las principa-

les variables de ciberseguridad que permita a las autoridades
competentes determinar el nivel de seguridad y su evolución.
9
 Comprometer al sector público y al privado en la gestión de los

riesgos de la cadena de suministro, especialmente en aquellos
que afecte a la provisión de servicios esenciales.
 Desarrollar catálogos de productos y servicios cualificados y certi-

ficados, para su empleo en los procesos de contratación del sec-
tor público y de los servicios esenciales.
 Reforzar las estructuras de seguridad y la capacidad de vigilancia

de los sistemas de información que manejan información clasifi-
cada.
 Promover la realización de ciberejercicios y evaluaciones de ci-

berseguridad, especialmente en áreas que puedan afectar a la
Seguridad Nacional, la Administración pública, los servicios esen-
ciales y las empresas cotizadas.
 Asegurar la protección de las Infraestructuras Científico-Técnicas

Singulares y los centros de referencia de I+D+i.
 Sector privado:
 Ofrecer al sector privado un servicio público de ciberseguridad in-

tegrado, de calidad y de fácil acceso, y que sea un estímulo a la
demanda de los servicios que ofrece el sector empresarial de la
ciberseguridad.
 Impulsar la ciberseguridad en las pymes, micropymes y autóno-

mos mediante la articulación de políticas públicas en ciberseguri-
dad, y especialmente con actuaciones dirigidas al fomento de la
resiliencia.
 Promover la ciberseguridad para garantizar la privacidad y pro-

tección de datos personales dentro del marco de los derechos
digitales del ciudadano acorde con el ordenamiento jurídico,
promoviendo la protección de la «identidad digital».
 Crear mecanismos ágiles y seguros de denuncia para el sector

privado y ciudadanos.
 Estimular la cooperación entre actores públicos y privados, en

particular promoviendo el compromiso de los Proveedores de
Servicios de Internet y de Servicios Digitales para mejorar la ciber-
seguridad. Se impulsará la regulación nacional en este sentido y
se implantarán medidas de ciberdefensa activa de ciudadanos y
pymes.
10
 Desarrollar mecanismos para la medida agregada del riesgo y su

evolución, tanto de ciudadanos como de empresas, para priorizar
medidas de ciberseguridad e informar adecuadamente a la so-
ciedad.
 Impulsar en el sector empresarial la implantación de estándares

reconocidos de ciberseguridad. Estimular, junto con las entidades
de normalización nacional e internacional, la creación, difusión y
aplicación de mejores prácticas sectoriales en materia de ciber-
seguridad, incluidos diferentes esquemas de certificación.
 Impulsar la implantación de sistemas fiables de identificación elec-

trónica y servicios electrónicos de confianza.
 Promover la creación del Foro Nacional de Ciberseguridad, que

integre a representantes de la sociedad civil, expertos indepen-
dientes, sector privado, la academia, asociaciones, organismos sin
ánimo de lucro, entre otros, con el objetivo de potenciar y crear
sinergias público-privadas, particularmente en la generación de
conocimiento sobre las oportunidades y amenazas para la segu-
ridad en el ciberespacio.
11
2. DIRECTIVA (UE) 2016/1148

DEL PARLAMENTO EUROPEO Y DEL CONSEJO,
DE 6 DE JULIO DE 2016
Directiva (UE) 2016/1148 del Parlamento Europeo

y del Consejo, de 6 de julio de 2016, relativa a las
medidas destinadas a garantizar un elevado nivel
común de seguridad de las redes y sistemas de
información en la Unión.
La Directiva (UE) 2016/1148 establece que los Estados miembros deben ser
responsables de determinar qué entidades cumplen los criterios de la defi-
nición de «operador de servicios esenciales». A efectos de garantizar un
planteamiento coherente, la definición de operador de servicios esenciales debe
ser aplicada de manera coherente por todos los Estados miembros.
A tal fin, la presente Directiva prevé un examen de las entidades que desarrollan
su actividad en sectores y subsectores específicos, el establecimiento de una
lista de servicios esenciales, la consideración de una lista común de factores
intersectoriales que permitan determinar si un incidente potencial tendría un
efecto perturbador significativo, un proceso de consulta en el que participen los
Estados miembros pertinentes en el caso de las entidades que prestan servicios
en varios Estados miembros, y el apoyo del Grupo de cooperación en el proceso
de identificación.
12
Con el fin de garantizar que los cambios que puedan producirse en el mercado
se tengan debidamente en cuenta, los Estados miembros deben revisar periódi-
camente la lista de operadores identificados y actualizarla cuando sea necesa-
rio. Por último, los Estados miembros deben presentar a la Comisión la informa-
ción necesaria para valorar en qué medida este método común ha permitido
que los Estados miembros apliquen la definición de modo coherente.
A fin de determinar si un incidente podría tener un efecto perturbador sig-

nificativo, los Estados miembros deben tener en cuenta distintos factores, co-
mo el número de usuarios que confían en dicho servicio para fines tanto priva-
dos como profesionales. La utilización de ese servicio puede ser directa, indirec-
ta o mediante intermediario. Al evaluar el impacto, en términos de magnitud y
duración, que podría tener un incidente en las actividades económicas y socia-
les o en la seguridad pública, los Estados miembros deben considerar también
el tiempo que probablemente tendría que transcurrir antes de que la disconti-
nuidad empiece a tener repercusiones negativas.
Incidente: todo hecho que tenga efectos adversos

reales en la seguridad de las redes y sistemas de in-
formación.
Los Estados miembros velarán por que los proveedores de servicios digitales
determinen y adopten medidas técnicas y organizativas adecuadas y proporcio-
nadas para gestionar los riesgos existentes para la seguridad de las redes y sis-
temas de información (mercado en línea, motor de búsqueda en línea y servi-
cios de computación en nube). Habida cuenta de los avances técnicos, dichas
medidas garantizarán un nivel de seguridad de las redes y los sistemas de in-
formación adecuado en relación con el riesgo planteado, y tendrán en cuenta lo
siguiente:
 La seguridad de los sistemas e instalaciones.

 La gestión de incidentes.
 La gestión de la continuidad de las actividades.
 La supervisión, auditorías y pruebas.
 El cumplimiento de las normas internacionales.
13
Los Estados miembros también velarán por que los proveedores de servicios
digitales adopten medidas para prevenir y reducir al mínimo el impacto de los
incidentes que afectan a la seguridad de sus redes y sistemas de información en
los servicios que se ofrecen en la Unión, a fin de garantizar la continuidad de
dichos servicios.
14
3. REAL DECRETO-LEY 12/2018, DE 7

DE SEPTIEMBRE, DE SEGURIDAD DE LAS REDES
Y SISTEMAS DE INFORMACIÓN
El Real Decreto Ley 12/2018, de 7 de septiembre, de Seguridad de las Redes

y Sistemas de Información, transpone al ordenamiento jurídico español la
Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de
2016, relativa a las medidas destinadas a garantizar un elevado nivel común de
seguridad de las redes y sistemas de información en la Unión.
Este Real Decreto Ley tiene por objeto regular la seguridad de las redes y
sistemas de información utilizados para la provisión de los servicios esen-
ciales y de los servicios digitales, y establecer un sistema de notificación de
incidentes. Asimismo, establece un marco institucional para su aplicación y la
coordinación entre autoridades competentes y con los órganos de cooperación
relevantes en el ámbito comunitario.
3.1. ÁMBITO DE APLICACIÓN
El Real Decreto Ley 12/2018 se aplicará sobre los siguientes sujetos:
1. Los servicios esenciales dependientes de las redes y sistemas de in-

formación comprendidos en los sectores estratégicos definidos en el
anexo de la Ley 8/2011, de 28 de abril, por la que se establecen medi-
das para la protección de las infraestructuras críticas.
15
Industria nuclear, industria química, instalaciones de

investigación, industria relacionada con el agua, in-
dustria relacionada con la salud, tecnologías de la in-
formación y las comunicaciones, industria del trans-
porte, industria de la alimentación y sistema financie-
ro y tributario.
2. Los servicios digitales (todo servicio prestado normalmente a título

oneroso, a distancia, por vía electrónica y a petición individual del des-
tinatario) que sean mercados en línea, motores de búsqueda en línea y
servicios de computación en nube.
Un mercado en línea es un tipo de servicio de co-

mercio electrónico en el que múltiples operadores
económicos ofrecen productos para la venta (artícu-
lo 4.1.f del Reglamento (UE) núm. 524/2013).
El motor de búsqueda es un servicio de la sociedad
de la información que realiza búsquedas en una base
de datos propia o ajena (Diccionario panhispánico del
español jurídico).
Los servicios de computación en nube son un ser-
vicio que hace posible el acceso a un conjunto modu-
lable y elástico de recursos informáticos que se pue-
den compartir.
3. Los operadores de servicios esenciales establecidos en España. Se en-

tenderá que un operador de servicios esenciales está establecido en
España cuando su residencia o domicilio social se encuentren en terri-
torio español, siempre que éstos coincidan con el lugar en que esté
efectivamente centralizada la gestión administrativa y la dirección de
sus negocios o actividades.
4. Los servicios esenciales que los operadores residentes o domiciliados

en otro Estado ofrezcan a través de un establecimiento permanente si-
tuado en España.
16
5. Los proveedores de servicios digitales que tengan su sede social en Es-

paña y que constituya su establecimiento principal en la Unión Euro-
pea, así como los que, no estando establecidos en la Unión Europea,
designen en España a su representante en la Unión para el cumpli-
miento de la Directiva (UE) 2016/1148.
El Real Decreto Ley 12/2018 no se aplicará a:

a) Los operadores de redes y servicios de comu-
nicaciones electrónicas y los prestadores de
servicios electrónicos de confianza que no
sean designados como operadores críticos en
virtud de la Ley 8/2011, de 28 de abril.
b) Los proveedores de servicios digitales cuando
se trate de microempresas o pequeñas em-
presas, de acuerdo con las definiciones recogi-
das en la Recomendación 2003/361/CE de la
Comisión, de 6 de mayo de 2003, sobre la de-
finición de microempresas, pequeñas y media-
nas empresas.
3.2. OBLIGACIONES DE SEGURIDAD
Según el artículo 16 del Real Decreto Ley 12/2018, los operadores de servicios
esenciales y los proveedores de servicios digitales deberán adoptar medidas
técnicas y de organización, adecuadas y proporcionadas, para gestionar los
riesgos que se planteen para la seguridad de las redes y sistemas de informa-
ción utilizados en la prestación de los servicios.
No obstante, el Real Decreto Ley 12/2018 establece que los proveedores de ser-
vicios digitales determinarán las medidas de seguridad que aplicarán, teniendo
en cuenta, como mínimo, los avances técnicos y los siguientes aspectos:
 La seguridad de los sistemas e instalaciones.

 La gestión de incidentes.
 La gestión de la continuidad de las actividades.
 La supervisión, auditorías y pruebas.
 El cumplimiento de las normas internacionales.
17
Por otro lado, el artículo 17 de esta norma que las autoridades competentes
promoverán la utilización de regulaciones, normas o especificaciones técnicas
en materia de seguridad de las redes y sistemas de información elaboradas en
el marco del Reglamento (UE) 1025/2012 del Parlamento Europeo y del Consejo
de 25 de octubre de 2012 sobre la normalización europea. En ausencia de di-
chas normas o especificaciones, promoverán la aplicación de las normas o re-
comendaciones internacionales aprobadas por los organismos internacionales
de normalización, y, en su caso, de las normas y especificaciones técnicas acep-
tadas a nivel europeo o internacional que sean pertinentes en esta materia (por
ejemplo, la norma ISO 27001, sobre Gestión de Riesgos y Seguridad, a la que
nos referimos en la unidad anterior).
3.3. OBLIGACIÓN DE NOTIFICAR INCIDENTES

DE SEGURIDAD
¿Qué se debe notificar? Los operadores de servicios esenciales notificarán a la

autoridad competente, a través del CSIRT (equipos de respuesta a incidencias
de seguridad informática) de referencia, los incidentes que puedan tener efec-
tos perturbadores significativos en dichos servicios y los sucesos o incidencias
que puedan afectar a las redes y sistemas de información empleados para la
prestación de los servicios esenciales, pero que aún no hayan tenido un efecto
adverso real sobre aquéllos. Los proveedores de servicios digitales notificarán a la
autoridad competente, a través del CSIRT de referencia, los incidentes que ten-
gan efectos perturbadores significativos en dichos servicios. La obligación de la
notificación del incidente únicamente se aplicará cuando el proveedor de servi-
cios digitales tenga acceso a la información necesaria para valorar el impacto de
un incidente.
Las notificaciones tanto de operadores de servicios

esenciales como de proveedores de servicios digita-
les se referirán a los incidentes que afecten a las re-
des y sistemas de información empleados en la pres-
tación de los servicios indicados, tanto si se trata de
redes y servicios propios como si son de proveedores
externos.
18
¿Cuál es el plazo? Estos incidentes deberán notificadas al CSIRT sin dilaciones,

tan pronto como se tenga conocimiento de tal incidencia.
¿A quién se deben notificar los incidentes?
 El CCN-CERT, del Centro Criptológico Nacional, cuando se produzcan

brechas de seguridad en las entidades del ámbito subjetivo de aplica-
ción de la Ley 40/2015, de 1 de octubre, del Régimen Jurídico del Sector
Público.
La Ley 40/2015, de 1 de octubre, del Régimen Jurí-

dico del Sector Público comprende:
a) La Administración General del Estado.
b) Las Administraciones de las Comunidades Au-
tónomas.
c) Las Entidades que integran la Administración
Local.
d) El sector público institucional.
El sector público institucional se integra por:
a) Cualesquiera organismos públicos y entidades
de derecho público vinculados o dependientes
de las Administraciones Públicas.
b) Las entidades de derecho privado vinculadas o
dependientes de las Administraciones Públicas
que quedarán sujetas a lo dispuesto en las
normas de esta Ley que específicamente se re-
fieran a las mismas, en particular a los princi-
pios previstos en el artículo 3, y en todo caso,
cuando ejerzan potestades administrativas.
c) Las Universidades públicas que se regirán por
su normativa específica y supletoriamente por
las previsiones de la presente Ley.
Tienen la consideración de Administraciones Públicas
la Administración General del Estado, las Administra-
ciones de las Comunidades Autónomas, las Entidades
que integran la Administración Local, así como los or-
ganismos públicos y entidades de derecho público
previstos en la letra a) del apartado 2.
19
 El INCIBE-CERT, del Instituto Nacional de Ciberseguridad de España, las

incidencias en operadores de servicio esenciales que no estén com-
prendidos dentro del ámbito subjetivo de aplicación de la Ley 40/2015,
de 1 de octubre. El INCIBE-CERT será operado conjuntamente por el IN-
CIBE (Instituto Nacional de Ciberseguridad) y el CNPIC (Centro Nacional
de Protección de Infraestructuras y Ciberseguridad) en todo lo que se re-
fiera a la gestión de incidentes que afecten a los operadores críticos.
 El ESPDEF-CERT, del Ministerio de Defensa, que cooperará con el CCN-

CERT y el INCIBE-CERT en aquellas situaciones que éstos requieran en
apoyo de los operadores de servicios esenciales y, necesariamente, en
aquellos operadores que tengan incidencia en la Defensa Nacional y
que reglamentariamente se determinen.
¿Qué garantías se ofrecen al denunciante? Los empleados y el personal que,

por cualquier tipo de relación laboral o mercantil, participen en la prestación de
los servicios esenciales o digitales, que informen sobre incidentes no podrán
sufrir consecuencias adversas en su puesto de trabajo o con la empresa, salvo
en los supuestos en que se acredite mala fe en su actuación.
Se entenderán nulas y sin efecto legal las decisio-

nes del empleador tomadas en perjuicio o detrimen-
to de los derechos laborales de los trabajadores que
hayan realizado la notificación.
20
4. REAL DECRETO 43/2021, DE 26 DE ENERO,

POR EL QUE SE DESARROLLA EL REAL DECRETO-
LEY 12/2018, DE 7 DE SEPTIEMBRE,
DE SEGURIDAD DE LAS REDES Y SISTEMAS
DE INFORMACIÓN
El Real Decreto Ley 12/2018, de 7 de septiembre, habilita al Gobierno, en su

disposición final tercera, para su desarrollo reglamentario. Con esa cobertura
legal, el Real Decreto 43/2021 tiene por finalidad desarrollar el Real Decreto
Ley 12/2018, de 7 de septiembre, en lo relativo al marco estratégico e institu-
cional de seguridad de las redes y sistemas de información al cumplimiento de
las obligaciones de seguridad de los operadores de servicios esenciales y de los
proveedores de servicios digitales y a la gestión de incidentes de seguridad.
En este epígrafe vamos a profundizar en los aspectos fundamentales del mismo.
4.1. REQUISITOS DE SEGURIDAD
4.1.1. MEDIDAS PARA EL CUMPLIMIENTO DE LAS OBLIGACIONES

DE SEGURIDAD
Los operadores de servicios esenciales y los proveedores de servicios digitales

deberán adoptar las medidas técnicas y de organización adecuadas y propor-
cionadas para gestionar los riesgos que afecten a la seguridad de las redes y
sistemas de información utilizados para la prestación de sus servicios, tanto si
se trata de redes y sistemas propios, como de proveedores externos.
21
En el caso de los operadores de servicios esenciales, deberán aprobar unas

políticas de seguridad de las redes y sistemas de información, atendiendo a
los principios de seguridad integral, gestión de riesgos, prevención, respuesta y
recuperación, líneas de defensa, reevaluación periódica y segregación de tareas.
Dichas políticas considerarán, como mínimo, los siguientes aspectos:
 Análisis y gestión de riesgos.
 Gestión de riesgos de terceros o proveedores.
 Catálogo de medidas de seguridad, organizativas, tecnológicas y físicas.
 Gestión del personal y profesionalidad.
 Adquisición de productos o servicios de seguridad.
 Detección y gestión de incidentes.
 Planes de recuperación y aseguramiento de la continuidad de las ope-

raciones.
 Mejora continua.
 Interconexión de sistemas.
 Registro de la actividad de los usuarios.
La relación de medidas adoptadas se formalizará en

un documento denominado Declaración de Aplica-
bilidad de medidas de seguridad, que será suscrito
por el responsable de seguridad de la información
designado conforme a lo previsto en el artículo si-
guiente y que se incluirá en la política de seguridad
que apruebe la Dirección de la organización. Dicho
documento, que deberá remitirse a la autoridad
competente respectiva en el plazo de seis meses
desde la designación del operador como operador
de servicios esenciales, deberá revisarse, al menos,
cada tres años. Tanto la Declaración de Aplicabilidad
de medidas de seguridad inicial, como sus sucesivas
revisiones serán objeto de supervisión por la autori-
dad competente respectiva.
22
Las medidas a las que se refieren los apartados anteriores tomarán como refe-
rencia las recogidas en el anexo II del Real Decreto 3/2010, de 8 de enero,
por el que se regula el Esquema Nacional de Seguridad en el ámbito de la
Administración Electrónica, en la medida en que sean aplicables, y se basarán,
cuando sea posible, en otros esquemas nacionales de seguridad existentes.
Sin perjuicio de lo anterior, podrán tenerse en cuenta otros estándares recono-

cidos internacionalmente.
4.1.1.1. Medidas del Anexo II del Real Decreto 3/2010,

de 8 de enero
4.1.1.1.1. Medidas en el marco organizativo
 Política de seguridad. La política de seguridad será aprobada por el

órgano superior competente que corresponda, y se plasmará en un
documento escrito, en el que, de forma clara, se precise, al menos, lo
siguiente:
 Los objetivos o misión de la organización.
 El marco legal y regulatorio en el que se desarrollarán las activi-

dades.
 Los roles o funciones de seguridad, definiendo para cada uno, los

deberes y responsabilidades del cargo, así como el procedimiento
para su designación y renovación.
 La estructura del comité o los comités para la gestión y coordina-

ción de la seguridad, detallando su ámbito de responsabilidad, los
miembros y la relación con otros elementos de la organización.
 Las directrices para la estructuración de la documentación de se-

guridad del sistema, su gestión y acceso.
La política de seguridad debe referenciar y ser cohe-

rente con lo establecido en el Documento de Segu-
ridad que exige el Real Decreto 1720/2007, en lo que
corresponda.
23
 Normativa de seguridad. Se dispondrá de una serie de documentos

que describan:
 El uso correcto de equipos, servicios e instalaciones.
 Lo que se considerará uso indebido.
 La responsabilidad del personal con respecto al cumplimiento o
violación de estas normas: derechos, deberes y medidas discipli-
narias de acuerdo con la legislación vigente.
 Procedimientos de seguridad. Se dispondrá de una serie de docu-
mentos que detallen de forma clara y precisa:
 Cómo llevar a cabo las tareas habituales.
 Quién debe hacer cada tarea.
 Cómo identificar y reportar comportamientos anómalos.
 Proceso de autorización. Se establecerá un proceso formal de autori-
zaciones que cubra todos los elementos del sistema de información:
 Utilización de instalaciones, habituales y alternativas.
 Entrada de equipos en producción, en particular, equipos que in-
volucren criptografía.
 Entrada de aplicaciones en producción.
 Establecimiento de enlaces de comunicaciones con otros sistemas.
 Utilización de medios de comunicación, habituales y alternativos.
 Utilización de soportes de información.
 Utilización de equipos móviles. Se entenderá por equipos móviles
ordenadores portátiles, PDA, u otros de naturaleza análoga.
 Utilización de servicios de terceros, bajo contrato o convenio.
4.1.1.1.2. Marco operacional
 Planificación:
 Análisis de riesgo:
 Categoría BÁSICA. Bastará un análisis informal, realizado
en lenguaje natural. Es decir, una exposición textual que
describa los siguientes aspectos:
 Identifique los activos más valiosos del sistema.
 Identifique las amenazas más probables.
24
 Identifique las salvaguardas que protegen de dichas

amenazas.
 Identifique los principales riesgos residuales.
 Categoría MEDIA. Se deberá realizar un análisis semi-formal,

usando un lenguaje específico, con un catálogo básico de
amenazas y una semántica definida. Es decir, una presenta-
ción con tablas que describa los siguientes aspectos:
 Identifique y valore cualitativamente los activos más

valiosos del sistema.
 Identifique y cuantifique las amenazas más probables.
 Identifique y valore las salvaguardas que protegen de

dichas amenazas.
 Identifique y valore el riesgo residual.
 Categoría ALTA. Se deberá realizar un análisis formal,

usando un lenguaje específico, con un fundamento mate-
mático reconocido internacionalmente. El análisis deberá
cubrir los siguientes aspectos:
 Identifique y valore cualitativamente los activos más

valiosos del sistema.
 Identifique y cuantifique las amenazas posibles.
 Identifique las vulnerabilidades habilitantes de dichas

amenazas.
 Identifique y valore las salvaguardas adecuadas.
 Identifique y valore el riesgo residual.
 Arquitectura de la seguridad. La seguridad del sistema será ob-

jeto de un planteamiento integral detallando, al menos, los si-
guientes aspectos:
 Categoría BÁSICA:
 Documentación de las instalaciones:
 Áreas.
 Puntos de acceso.
25
 Documentación del sistema:
 Equipos.
 Redes internas y conexiones al exterior.
 Puntos de acceso al sistema (puestos de trabajo

y consolas de administración).
 Esquema de líneas de defensa:
 Puntos de interconexión a otros sistemas o a

otras redes, en especial si se trata de Internet o
redes públicas en general.
 Cortafuegos, DMZ, etc.
 Utilización de tecnologías diferentes para preve-

nir vulnerabilidades que pudieran perforar si-
multáneamente varias líneas de defensa.
 Sistema de identificación y autenticación de usuarios:
 Uso de claves concertadas, contraseñas, tarjetas

de identificación, biometría, u otras de naturale-
za análoga.
 Uso de ficheros o directorios para autenticar al

usuario y determinar sus derechos de acceso.
 Categoría MEDIA:
 Sistema de gestión, relativo a la planificación, organi-

zación y control de los recursos relativos a la seguri-
dad de la información.
 Categoría ALTA:
 Sistema de gestión de seguridad de la información

con actualización y aprobación periódica.
 Controles técnicos internos:
 Validación de datos de entrada, salida y datos in-

termedios.
26
 Adquisición de nuevos componentes. Se establecerá un proce-

so formal para planificar la adquisición de nuevos componentes
del sistema, proceso que:
 Atenderá a las conclusiones del análisis de riesgos.
 Será acorde a la arquitectura de seguridad escogida.
 Contemplará las necesidades técnicas, de formación y de fi-

nanciación de forma conjunta.
 Gestión de capacidades. Con carácter previo a la puesta en ex-

plotación, se realizará un estudio previo que cubrirá los siguientes
aspectos:
 Necesidades de procesamiento.
 Necesidades de almacenamiento de información: durante

su procesamiento y durante el periodo que deba retenerse.
 Necesidades de comunicación.
 Necesidades de personal: cantidad y cualificación profesio-

nal.
 Necesidades de instalaciones y medios auxiliares.
 Componentes certificados. Se utilizarán sistemas, productos o

equipos cuyas funcionalidades de seguridad y su nivel hayan sido
evaluados conforme a normas europeas o internacionales y cu-
yos certificados estén reconocidos por el Esquema Nacional de
Evaluación y Certificación de la Seguridad de las Tecnologías de la
Información
Tendrán la consideración de normas europeas o in-

ternacionales, ISO/IEC 15408 u otras de naturaleza y
calidad análogas. Una instrucción técnica de seguri-
dad detallará los criterios exigibles.
27
 Control de acceso. El control de acceso cubre el conjunto de activida-

des preparatorias y ejecutivas para que una determinada entidad,
usuario o proceso, pueda, o no, acceder a un recurso del sistema para
realizar una determinada acción. En todo control de acceso se requeri-
rá lo siguiente:
 Que todo acceso esté prohibido, salvo concesión expresa.
 Que la entidad quede identificada singularmente.
 Que la utilización de los recursos esté protegida.
 Que se definan para cada entidad los siguientes paráme-

tros: a qué se necesita acceder, con qué derechos y bajo
qué autorización.
 Serán diferentes las personas que autorizan, usan y contro-

lan el uso.
 Que la identidad de la entidad quede suficientemente au-

tenticada.
 Que se controle tanto el acceso local como el acceso remoto.
 Identificación. La identificación de los usuarios del sistema se

realizará de acuerdo con lo que se indica a continuación:
 Se podrán utilizar como identificador único los sistemas de

identificación previstos en la normativa de aplicación.
 Cuando el usuario tenga diferentes roles frente al sistema

(por ejemplo, como ciudadano, como trabajador interno del
organismo y como administrador de los sistemas) recibirá
identificadores singulares para cada uno de los casos de
forma que siempre queden delimitados privilegios y regis-
tros de actividad.
 Cada entidad (usuario o proceso) que accede al sistema,

contará con un identificador singular de tal forma que:
 Se puede saber quién recibe y qué derechos de acce-

so recibe.
 Se puede saber quién ha hecho algo y qué ha hecho.
28
 Las cuentas de usuario se gestionarán de la siguiente forma:
 Cada cuenta estará asociada a un identificador único.
 Las cuentas deben ser inhabilitadas en los siguientes

casos: cuando el usuario deja la organización; cuando
el usuario cesa en la función para la cual se requería
la cuenta de usuario; o, cuando la persona que la au-
torizó da orden en sentido contrario.
 Las cuentas se retendrán durante el periodo necesa-

rio para atender a las necesidades de trazabilidad de
los registros de actividad asociados a las mismas. A
este periodo se le denominará periodo de retención.
 Requisitos de acceso. Los requisitos de acceso se atenderán a lo

que a continuación se indica:
 Los recursos del sistema se protegerán con algún meca-

nismo que impida su utilización, salvo a las entidades que
disfruten de derechos de acceso suficientes.
 Los derechos de acceso de cada recurso, se establecerán

según las decisiones de la persona responsable del recurso,
ateniéndose a la política y normativa de seguridad del sis-
tema.
 Particularmente se controlará el acceso a los componentes

del sistema y a sus ficheros o registros de configuración.
 Segregación de funciones y tareas. El sistema de control de ac-

ceso se organizará de forma que se exija la concurrencia de dos o
más personas para realizar tareas críticas, anulando la posibilidad
de que un solo individuo autorizado, pueda abusar de sus dere-
chos para cometer alguna acción ilícita. En concreto, se separarán
al menos las siguientes funciones:
 Desarrollo de operación.
 Configuración y mantenimiento del sistema de operación.
 Auditoría o supervisión de cualquier otra función.
29
 Proceso de gestión de derechos de acceso. Los derechos de

acceso de cada usuario, se limitarán atendiendo a los siguientes
principios:
 Mínimo privilegio. Los privilegios de cada usuario se reduci-

rán al mínimo estrictamente necesario para cumplir sus
obligaciones.
De esta forma se acotan los daños que pudiera cau-

sar una entidad, de forma accidental o intencionada.
 Necesidad de conocer. Los privilegios se limitarán de forma

que los usuarios solo accederán al conocimiento de aquella
información requerida para cumplir sus obligaciones.
 Capacidad de autorizar. Sólo y exclusivamente el personal

con competencia para ello, podrá conceder, alterar o anular
la autorización de acceso a los recursos, conforme a los cri-
terios establecidos por su responsable.
 Mecanismo de autenticación. Los mecanismos de autenticación

frente al sistema se adecuarán al nivel del sistema atendiendo a
las consideraciones que siguen, pudiendo usarse los siguientes
factores de autenticación: "algo que se sabe": contraseñas o cla-
ves concertadas, ii) "algo que se tiene": componentes lógicos (ta-
les como certificados software) o dispositivos físicos (en expresión
inglesa, tokens) y iii) "algo que se es": elementos biométricos.
En función de los riesgos los mecanismos de autenticación serán

los siguientes:
 Nivel BAJO.
 Como principio general, se admitirá el uso de cual-

quier mecanismo de autenticación sustentado en un
solo factor.
 En el caso de utilizarse como factor "algo que se sabe",
se aplicarán reglas básicas de calidad de la misma.
30
 Se atenderá a la seguridad de las credenciales de

forma que:
 Las credenciales se activarán una vez estén bajo
el control efectivo del usuario.
 Las credenciales estarán bajo el control exclusi-

vo del usuario.
 El usuario reconocerá que las ha recibido y que

conoce y acepta las obligaciones que implica su
tenencia, en particular, el deber de custodia dili-
gente, protección de su confidencialidad e in-
formación inmediata en caso de pérdida.
 Las credenciales se cambiarán con una periodi-

cidad marcada por la política de la organización,
atendiendo a la categoría del sistema al que se
accede.
 Las credenciales se retirarán y serán deshabili-

tadas cuando la entidad (persona, equipo o pro-
ceso) que autentican termina su relación con el
sistema.
 Nivel MEDIO.
 Se exigirá el uso de al menos dos factores de autenti-

cación.
 En el caso de utilización de "algo que se sabe" como

factor de autenticación, se establecerán exigencias ri-
gurosas de calidad y renovación.
 Las credenciales utilizadas deberán haber sido obte-

nidas tras un registro previo:
 Presencial.
 Telemático usando certificado electrónico cuali-

ficado.
 Telemático mediante una autenticación con una

credencial electrónica obtenida tras un registro
previo presencial o telemático usando certifica-
do electrónico cualificado en dispositivo cualifi-
cado de creación de firma.
31
 Nivel ALTO.
 Las credenciales se suspenderán tras un periodo de-

finido de no utilización.
 En el caso del uso de utilización de "algo que se tiene",

se requerirá el uso de elementos criptográficos hard-
ware usando algoritmos y parámetros acreditados por
el Centro Criptológico Nacional.
 Las credenciales utilizadas deberán haber sido obte-

nidas tras un registro previo presencial o telemático
usando certificado electrónico cualificado en dispositi-
vo cualificado de creación de firma.
 Acceso local. Se considera acceso local al realizado desde pues-

tos de trabajo dentro de las propias instalaciones de la organiza-
ción. Estos accesos tendrán en cuenta el nivel de las dimensiones
de seguridad:
 Nivel BAJO.
 Se prevendrán ataques que puedan revelar informa-

ción del sistema sin llegar a acceder al mismo. La in-
formación revelada a quien intenta acceder, debe ser
la mínima imprescindible (los diálogos de acceso pro-
porcionarán solamente la información indispensable).
 El número de intentos permitidos será limitado, blo-

queando la oportunidad de acceso una vez efectua-
dos un cierto número de fallos consecutivos.
 Se registrarán los accesos con éxito, y los fallidos.
 El sistema informará al usuario de sus obligaciones

inmediatamente después de obtener el acceso.
 Nivel MEDIO. Se informará al usuario del último acceso

efectuado con su identidad.
 Nivel ALTO.
 El acceso estará limitado por horario, fechas y lugar

desde donde se accede.
 Se definirán aquellos puntos en los que el sistema re-

querirá una renovación de la autenticación del usua-
rio, mediante identificación singular, no bastando con
la sesión establecida.
32
 Acceso remoto. Se establecerá una política específica de lo que

puede hacerse remotamente, requiriéndose autorización positiva.
 Explotación:
 Inventario de activos. Se mantendrá un inventario actualizado

de todos los elementos del sistema, detallando su naturaleza e
identificando a su responsable; es decir, la persona que es res-
ponsable de las decisiones relativas al mismo.
 Configuración de seguridad. Se configurarán los equipos pre-

viamente a su entrada en operación, de forma que:
 Se retiren cuentas y contraseñas estándar.
 Se aplicará la regla de «mínima funcionalidad»:

 El sistema debe proporcionar la funcionalidad reque-
rida para que la organización alcance sus objetivos y
ninguna otra funcionalidad.
 No proporcionará funciones gratuitas, ni de opera-
ción, ni de administración, ni de auditoría, reduciendo
de esta forma su perímetro al mínimo imprescindible.
 Se eliminará o desactivará mediante el control de la
configuración, aquellas funciones que no sean de in-
terés, no sean necesarias, e incluso, aquellas que sean
inadecuadas al fin que se persigue.
 Se aplicará la regla de «seguridad por defecto»:
 Las medidas de seguridad serán respetuosas con el

usuario y protegerán a éste, salvo que se exponga
conscientemente a un riesgo.
 Para reducir la seguridad, el usuario tiene que realizar
acciones conscientes.
 El uso natural, en los casos que el usuario no ha con-
sultado el manual, será un uso seguro.
 Gestión de la configuración. Se gestionará de forma continua la

configuración de los componentes del sistema de forma que:
 Se mantenga en todo momento la regla de "funcionalidad

mínima".
 Se mantenga en todo momento la regla de "seguridad por

defecto".
33
 El sistema se adapte a las nuevas necesidades, previamente

autorizadas.
 El sistema reaccione a vulnerabilidades reportadas.
 El sistema reaccione a incidentes.
 Mantenimiento. Para mantener el equipamiento físico y lógico

que constituye el sistema, se aplicará lo siguiente:
 Se atenderá a las especificaciones de los fabricantes en lo

relativo a instalación y mantenimiento de los sistemas.
 Se efectuará un seguimiento continuo de los anuncios de

defectos.
 Se dispondrá de un procedimiento para analizar, priorizar y

determinar cuándo aplicar las actualizaciones de seguridad,
parches, mejoras y nuevas versiones. La priorización tendrá
en cuenta la variación del riesgo en función de la aplicación
o no de la actualización.
 Gestión de cambios. Se mantendrá un control continuo de cam-

bios realizados en el sistema, de forma que:
 Todos los cambios anunciados por el fabricante o provee-

dor serán analizados para determinar su conveniencia para
ser incorporados, o no.
 Antes de poner en producción una nueva versión o una

versión parcheada, se comprobará en un equipo que no es-
té en producción, que la nueva instalación funciona correc-
tamente y no disminuye la eficacia de las funciones necesa-
rias para el trabajo diario.
El equipo de pruebas será equivalente al de produc-

ción en los aspectos que se comprueban.
34
 Los cambios se planificarán para reducir el impacto sobre la

prestación de los servicios afectados.
 Mediante análisis de riesgos se determinará si los cambios

son relevantes para la seguridad del sistema.
Aquellos cambios que impliquen una situación de

riesgo de nivel alto serán aprobados explícitamente
de forma previa a su implantación.
 Protección frente a códigos dañinos. Se considera código da-

ñino: los virus, los gusanos, los troyanos, los programas espías,
conocidos en terminología inglesa como «spyware», y en general,
todo lo conocido como «malware».
Se dispondrá de mecanismos de prevención y reac-

ción frente a código dañino con mantenimiento de
acuerdo a las recomendaciones del fabricante.
 Gestión de incidentes. Se dispondrá de un proceso integral para

hacer frente a los incidentes que puedan tener un impacto en la
seguridad del sistema, incluyendo:
 Procedimiento de reporte de eventos de seguridad y debili-

dades, detallando los criterios de clasificación y el escalado
de la notificación.
 Procedimiento de toma de medidas urgentes, incluyendo la

detención de servicios, el aislamiento del sistema afectado,
la recogida de evidencias y protección de los registros, se-
gún convenga al caso.
35
 Procedimiento de asignación de recursos para investigar las

causas, analizar las consecuencias y resolver el incidente.
 Procedimientos para informar a las partes interesadas, in-

ternas y externas.
 Procedimientos para:
 Prevenir que se repita el incidente.

 Incluir en los procedimientos de usuario la identifica-
ción y forma de tratar el incidente.
 Actualizar, extender, mejorar u optimizar los procedi-
mientos de resolución de incidentes.
 Registro de la actividad de los usuarios. Se registrarán las acti-

vidades de los usuarios en el sistema, de forma que:
 El registro indicará quién realiza la actividad, cuándo la reali-

za y sobre qué información.
 Se incluirá la actividad de los usuarios y, especialmente, la
de los operadores y administradores en cuanto puedan ac-
ceder a la configuración y actuar en el mantenimiento del
sistema.
 Deberán registrarse las actividades realizadas con éxito y
los intentos fracasados.
 La determinación de qué actividades deben registrarse y
con qué niveles de detalle se adoptará a la vista del análisis
de riesgos realizado sobre el sistema.
 Registro de la gestión de incidentes. Se registrarán todas las ac-
tuaciones relacionadas con la gestión de incidentes, de forma que:
 Se registrará el reporte inicial, las actuaciones de emergen-

cia y las modificaciones del sistema derivadas del incidente.
 Se registrará aquella evidencia que pueda, posteriormente,
sustentar una demanda judicial, o hacer frente a ella, cuan-
do el incidente pueda llevar a actuaciones disciplinarias so-
bre el personal interno, sobre proveedores externos o a la
persecución de delitos. En la determinación de la composi-
ción y detalle de estas evidencias, se recurrirá a asesora-
miento legal especializado.
 Como consecuencia del análisis de los incidentes, se revisa-
rá la determinación de los eventos auditables.
36
 Protección de los registros de actividad. Se protegerán los re-

gistros del sistema, de forma que:
 Se determinará el periodo de retención de los registros.
 Se asegurará la fecha y hora.
 Los registros no podrán ser modificados ni eliminados por

personal no autorizado.
 Las copias de seguridad, si existen, se ajustarán a los mis-

mos requisitos.
 Protección de claves criptográficas. Las claves criptográficas se

protegerán durante todo su ciclo de vida: (1) generación, (2)
transporte al punto de explotación, (3) custodia durante la explo-
tación, (4) archivo posterior a su retirada de explotación activa y
(5) destrucción final.
 Categoría BÁSICA:
 Los medios de generación estarán aislados de los
medios de explotación.
 Las claves retiradas de operación que deban ser ar-
chivadas, lo serán en medios aislados de los de explo-
tación.
 Categoría MEDIA:
 Se usarán programas evaluados o dispositivos cripto-
gráficos certificados.
 Se emplearán algoritmos acreditados por el Centro
Criptológico Nacional.
 Servicios externos. Cuando se utilicen recursos externos a la organi-
zación, sean servicios, equipos, instalaciones o personal, deberá tener-
se en cuenta que la delegación se limita a las funciones.
La organización sigue siendo en todo momento res-

ponsable de los riesgos en que se incurre en la me-
dida en que impacten sobre la información manejada
y los servicios finales prestados por la organización.
La organización dispondrá las medidas necesarias
para poder ejercer su responsabilidad y mantener el
control en todo momento.
37
 Contratación y acuerdos de nivel de servicio. Previa a la utiliza-

ción de recursos externos se establecerán contractualmente las
características del servicio prestado y las responsabilidades de las
partes. Se detallará lo que se considera calidad mínima del servi-
cio prestado y las consecuencias de su incumplimiento.
 Gestión diaria. Para la gestión diaria del sistema, se establecerán

los siguientes puntos:
 Un sistema rutinario para medir el cumplimiento de las

obligaciones de servicio y el procedimiento para neutralizar
cualquier desviación fuera del margen de tolerancia acor-
dado ([op.ext.1]).
 El mecanismo y los procedimientos de coordinación para

llevar a cabo las tareas de mantenimiento de los sistemas
afectados por el acuerdo.
 El mecanismo y los procedimientos de coordinación en caso

de incidentes y desastres.
 Continuidad del servicio.
 Análisis de impacto. Se realizará un análisis de impacto que

permita determinar:
 Los requisitos de disponibilidad de cada servicio medidos

como el impacto de una interrupción durante un cierto pe-
riodo de tiempo.
 Los elementos que son críticos para la prestación de cada

servicio.
 Plan de continuidad. Se desarrollará un plan de continuidad que

establezca las acciones a ejecutar en caso de interrupción de los
servicios prestados con los medios habituales. Este plan contem-
plará los siguientes aspectos:
 Se identificarán funciones, responsabilidades y actividades a

realizar.
 Existirá una previsión de los medios alternativos que se va a

conjugar para poder seguir prestando los servicios.
 Todos los medios alternativos estarán planificados y mate-

rializados en acuerdos o contratos con los proveedores co-
rrespondientes.
38
 Las personas afectadas por el plan recibirán formación es-

pecífica relativa a su papel en dicho plan.
 El plan de continuidad será parte integral y armónica de los

planes de continuidad de la organización en otras materias
ajenas a la seguridad.
 Pruebas periódicas. Se realizarán pruebas periódicas para loca-

lizar y, corregir en su caso, los errores o deficiencias que puedan
existir en el plan de continuidad.
 Monitorización. El sistema estará sujeto a medidas de monitorización

de su actividad.
 Detección de intrusión. Se dispondrán de herramientas de detec-

ción o de prevención de intrusión.
 Sistema de métricas. Se recopilarán los datos necesarios aten-

diendo a la categoría del sistema para conocer el grado de im-
plantación de las medidas de seguridad que apliquen de las deta-
lladas en el Anexo II. Además, se recopilarán datos para valorar el
sistema de gestión de incidentes, permitiendo conocer:
 Número de incidentes de seguridad tratados.
 Tiempo empleado para cerrar el 50% de los incidentes.
 Tiempo empleado para cerrar el 90% de los incidentes.
 Recursos consumidos: horas y presupuesto.
4.1.1.1.3. Medidas de protección
 Protección de las instalaciones e infraestructuras.
 Áreas separadas y con control de acceso. El equipamiento de

instalará en áreas separadas específicas para su función.
Se controlarán los accesos a las áreas indicadas de

forma que solo se pueda acceder por las entradas
previstas y vigiladas.
39
 Identificación de las personas. El mecanismo de control de ac-

ceso se atendrá a lo que se dispone a continuación:
 Se identificará a todas las personas que accedan a los loca-

les donde hay equipamiento que forme parte del sistema
de información.
 Se registrarán las entradas y salidas de personas.
 Acondicionamiento de los locales. Los locales donde se ubi-

quen los sistemas de información y sus componentes dispondrán
de elementos adecuados para el eficaz funcionamiento del equi-
pamiento allí instalado. Y, en especial:
 Condiciones de temperatura y humedad.
 Protección frente a las amenazas identificadas en el análisis

de riesgos.
 Protección del cableado frente a incidentes fortuitos o deli-

berados.
 Energía eléctrica. Los locales donde se ubiquen los sistemas de

información y sus componentes dispondrán de la energía eléctri-
ca, y sus tomas correspondientes, necesaria para su funciona-
miento, de forma que en los mismos:
 Se garantizará el suministro de potencia eléctrica.
 Se garantizará el correcto funcionamiento de las luces de

emergencia.
 Se garantizará el suministro eléctrico a los sistemas en caso

de fallo del suministro general, garantizando el tiempo sufi-
ciente para una terminación ordenada de los procesos, sal-
vaguardando la información.
 Protección frente a incendios. Los locales donde se ubiquen los

sistemas de información y sus componentes se protegerán frente
a incendios fortuitos o deliberados, aplicando al menos la norma-
tiva industrial pertinente.
 Protección frente a inundaciones. Los locales donde se ubiquen

los sistemas de información y sus componentes se protegerán
frente a incidentes fortuitos o deliberados causados por el agua.
40
 Registro de entrada y salida de equipamiento. Se llevará un

registro pormenorizado de toda entrada y salida de equipamien-
to, incluyendo la identificación de la persona que autoriza de mo-
vimiento.
 Instalaciones alternativas. Se garantizará la existencia y dispo-

nibilidad de instalaciones alternativas para poder trabajar en caso
de que las instalaciones habituales no estén disponibles.
Las instalaciones alternativas disfrutarán de las mis-

mas garantías de seguridad que las instalaciones ha-
bituales.
 Gestión del personal.

 Caracterización del puesto de trabajo. Cada puesto de trabajo
se caracterizará de la siguiente forma:
 Se definirán las responsabilidades relacionadas con cada
puesto de trabajo en materia de seguridad. La definición se
basará en el análisis de riesgos.
 Se definirán los requisitos que deben satisfacer las perso-
nas que vayan a ocupar el puesto de trabajo, en particular,
en términos de confidencialidad.
 Dichos requisitos se tendrán en cuenta en la selección de la
persona que vaya a ocupar dicho puesto, incluyendo la veri-
ficación de sus antecedentes laborales, formación y otras
referencias.
 Deberes y obligaciones.
 Se informará a cada persona que trabaje en el sistema, de
los deberes y responsabilidades de su puesto de trabajo en
materia de seguridad.
 Se especificarán las medidas disciplinarias a que haya
lugar.
 Se cubrirá tanto el periodo durante el cual se desempe-
ña el puesto, como las obligaciones en caso de término
de la asignación, o traslado a otro puesto de trabajo.
41
 Se contemplará el deber de confidencialidad respecto

de los datos a los que tenga acceso, tanto durante el
periodo que estén adscritos al puesto de trabajo, co-
mo posteriormente a su terminación.
 En caso de personal contratado a través de un tercero:
 Se establecerán los deberes y obligaciones del personal.
 Se establecerán los deberes y obligaciones de cada

parte.
 Se establecerá el procedimiento de resolución de in-

cidentes relacionados con el incumplimiento de las
obligaciones.
 Concienciación. Se realizarán las acciones necesarias para con-

cienciar regularmente al personal acerca de su papel y responsa-
bilidad para que la seguridad del sistema alcance los niveles exi-
gidos. En particular, se recordará regularmente:
 La normativa de seguridad relativa al buen uso de los sis-

temas.
 La identificación de incidentes, actividades o comportamien-

tos sospechosos que deban ser reportados para su trata-
miento por personal especializado.
 El procedimiento de reporte de incidentes de seguridad,

sean reales o falsas alarmas.
 Formación. Se formará regularmente al personal en aquellas ma-

terias que requieran para el desempeño de sus funciones, en
particular en lo relativo a:
 Configuración de sistemas.
 Detección y reacción a incidentes.
 Gestión de la información en cualquier soporte en el que se

encuentre. Se cubrirán al menos las siguientes actividades:
almacenamiento, transferencia, copias, distribución y des-
trucción.
 Personal alternativo. Se garantizará la existencia y disponibili-

dad de otras personas que se puedan hacer cargo de las funcio-
nes en caso de indisponibilidad del personal habitual.
42
El personal alternativo deberá estar sometido a las

mismas garantías de seguridad que el personal habi-
tual.
 Protección de equipos.
 Puesto de trabajo despejado. Se exigirá que los puestos de tra-
bajo permanezcan despejados, sin más material encima de la
mesa que el requerido para la actividad que se está realizando en
cada momento. Este material se guardará en lugar cerrado cuan-
do no se esté utilizando.
 Bloqueo de puesto de trabajo. El puesto de trabajo se bloquea-
rá al cabo de un tiempo prudencial de inactividad, requiriendo
una nueva autenticación del usuario para reanudar la actividad en
curso. Pasado un cierto tiempo, superior al anterior, se cancela-
rán las sesiones abiertas desde dicho puesto de trabajo.
 Protección de portátiles. Los equipos que sean susceptibles de
salir de las instalaciones de la organización y no puedan benefi-
ciarse de la protección física correspondiente, con un riesgo ma-
nifiesto de pérdida o robo, serán protegidos adecuadamente. Sin
perjuicio de las medidas generales que les afecten, se adoptarán
las siguientes:
 Se llevará un inventario de equipos portátiles junto con una
identificación de la persona responsable del mismo y un
control regular de que está positivamente bajo su control.
 Se establecerá un canal de comunicación para informar, al
servicio de gestión de incidentes, de pérdidas o sustracciones.
 Cuando un equipo portátil se conecte remotamente a tra-
vés de redes que no están bajo el estricto control de la or-
ganización, el ámbito de operación del servidor limitará la
información y los servicios accesibles a los mínimos impres-
cindibles, requiriendo autorización previa de los responsa-
bles de la información y los servicios afectados. Este punto
es de aplicación a conexiones a través de Internet y otras
redes que no sean de confianza.
 Se evitará, en la medida de lo posible, que el equipo con-
tenga claves de acceso remoto a la organización.
43
Se considerarán claves de acceso remoto aquellas

que sean capaces de habilitar un acceso a otros
equipos de la organización, u otras de naturaleza
análoga.
 Se dotará al dispositivo de detectores de violación que

permitan saber el equipo ha sido manipulado y activen los
procedimientos previstos de gestión del incidente.
 La información de nivel alto almacenada en el disco se pro-

tegerá mediante cifrado.
 Medios alternativos. Se garantizará la existencia y disponibilidad

de medios alternativos de tratamiento de la información para el
caso de que fallen los medios habituales. Estos medios alternati-
vos estarán sujetos a las mismas garantías de protección. Igual-
mente, se establecerá un tiempo máximo para que los equipos
alternativos entren en funcionamiento.
 Protección de las comunicaciones.
 Perímetro de seguro. Se dispondrá un sistema cortafuegos que

separe la red interna del exterior. Todo el tráfico deberá atravesar
dicho sistema cortafuegos que sólo dejará transitar los flujos pre-
viamente autorizados. El sistema de cortafuegos constará de dos
o más equipos de diferente fabricante dispuestos en cascada. Se
dispondrán sistemas redundantes.
 Protección de confidencialidad.
 Se emplearán redes privadas virtuales cuando la comunica-

ción discurra por redes fuera del propio dominio de seguri-
dad.
 Se emplearán algoritmos acreditados por el Centro Cripto-

lógico Nacional.
 Se emplearán, preferentemente, dispositivos hardware en

el establecimiento y utilización de la red privada virtual.
 Se emplearán productos certificados.
44
 Protección de la autenticidad y de la integridad.
 Se asegurará la autenticidad del otro extremo de un canal

de comunicación antes de intercambiar información.
 Se prevendrán ataques activos, garantizando que al menos

serán detectados. y se activarán los procedimientos previs-
tos de tratamiento del incidente Se considerarán ataques
activos:
 La alteración de la información en tránsito.

 La inyección de información espuria.
 El secuestro de la sesión por una tercera parte.
 Se aceptará cualquier mecanismo de autenticación de los

previstos en normativa de aplicación.
 Se emplearán redes privadas virtuales cuando la comunica-

ción discurra por redes fuera del propio dominio de seguri-
dad.
 Se emplearán algoritmos acreditados por el Centro Cripto-

lógico Nacional.

previstos en la normativa de aplicación.
En caso de uso de claves concertadas se aplicarán

exigencias medias en cuanto a su calidad frente a
ataques de adivinación, diccionario o fuerza bruta.
 Se valorará positivamente el empleo de dispositivos hardwa-

re en el establecimiento y utilización de la red privada virtual.
 Se emplearán productos certificados.

previstos en normativa de aplicación. En caso de uso de cla-
ves concertadas se aplicarán exigencias altas en cuanto a su
calidad frente a ataques de adivinación, diccionario o fuerza
bruta.
45
 Segregación de redes. La segregación de redes acota el acceso a

la información y, consiguientemente, la propagación de los inci-
dentes de seguridad, que quedan restringidos al entorno donde
ocurren. La red se segmentará en segmentos de forma que haya:
 Control de entrada de los usuarios que llegan a cada seg-

mento.
 Control de salida de la información disponible en cada seg-

mento.
 Las redes se pueden segmentar por dispositivos físicos o

lógicos. El punto de interconexión estará particularmente
asegurado, mantenido y monitorizado.

de medios alternativos de comunicación para el caso de que fallen
los medios habituales. Los medios alternativos de comunicación:
 Estarán sujetos y proporcionar las mismas garantías de pro-

tección que el medio habitual.
 Garantizarán un tiempo máximo de entrada en funciona-

miento.
 Protectores de los soportes de información.
 Etiquetado. Los soportes de información se etiquetarán de for-

ma que, sin revelar su contenido, se indique el nivel de seguridad
de la información contenida de mayor calificación.
Los usuarios han de estar capacitados para entender

el significado de las etiquetas, bien mediante simple
inspección, bien mediante el recurso a un repositorio
que lo explique.
 Criptografía. Se aplicarán mecanismos criptográficos que garan-

ticen la confidencialidad y la integridad de la información conteni-
da. Se emplearán algoritmos acreditados por el Centro Criptológi-
co Nacional.
46
 Custodia. Se aplicará la debida diligencia y control a los soportes

de información que permanecen bajo la responsabilidad de la or-
ganización, mediante las siguientes actuaciones:
 Garantizando el control de acceso con medidas físicas o ló-

gicas, o ambas.
 Garantizando que se respetan las exigencias de manteni-
miento del fabricante, en especial, en lo referente a tempe-
ratura, humedad y otros agresores medioambientales.
 Transporte. El responsable de sistemas garantizará que los dis-
positivos permanecen bajo control y que satisfacen sus requisitos
de seguridad mientras están siendo desplazados de un lugar a
otro. Para ello:
 Se dispondrá de un registro de salida que identifique al
transportista que recibe el soporte para su traslado.
 Se dispondrá de un registro de entrada que identifique al
transportista que lo entrega.
 Se dispondrá de un procedimiento rutinario que coteje las
salidas con las llegadas y levante las alarmas pertinentes
cuando se detecte algún incidente.
 Se utilizarán los medios de protección criptográfica corres-
pondientes al nivel de calificación de la información conte-
nida de mayor nivel.
 Se gestionarán las claves según.
 Borrado y destrucción. La medida de borrado y destrucción de
soportes de información se aplicará a todo tipo de equipos sus-
ceptibles de almacenar información, incluyendo medios electróni-
cos y no electrónicos.
 Nivel BAJO. Los soportes que vayan a ser reutilizados para
otra información o liberados a otra organización serán obje-
to de un borrado seguro de su contenido.
 Nivel MEDIO. Se destruirán de forma segura los soportes,
en los siguientes casos:
 Cuando la naturaleza del soporte no permita un bo-
rrado seguro.
 Cuando así lo requiera el procedimiento asociado al
tipo de información contenida.
 Se emplearán productos certificados.
47
 Protección de las aplicaciones informáticas.
 Desarrollo de aplicaciones.
 El desarrollo de aplicaciones se realizará sobre un sistema

diferente y separado del de producción, no debiendo existir
herramientas o datos de desarrollo en el entorno de pro-
ducción.
 Se aplicará una metodología de desarrollo reconocida que:
 Tome en consideración los aspectos de seguridad a lo

largo de todo el ciclo de vida.
 Trate específicamente los datos usados en pruebas.
 Permita la inspección del código fuente.
 Incluya normas de programación segura.
 Los siguientes elementos serán parte integral del diseño del

sistema:
 Los mecanismos de identificación y autenticación.
 Los mecanismos de protección de la información tra-

tada.
 La generación y tratamiento de pistas de auditoría.
 Las pruebas anteriores a la implantación o modifica-

ción de los sistemas de información no se realizarán
con datos reales, salvo que se asegure el nivel de se-
guridad correspondiente.
 Aceptación y puesta en servicio.
 Categoría BÁSICA. Antes de pasar a producción se com-

probará el correcto funcionamiento de la aplicación.
 Se comprobará que:
 Se cumplen los criterios de aceptación en mate-

ria de seguridad.
 No se deteriora la seguridad de otros compo-

nentes del servicio.
 Las pruebas se realizarán en un entorno aislado (pre-

producción).
48
 Las pruebas de aceptación no se realizarán con datos

reales, salvo que se asegure el nivel de seguridad co-
rrespondiente.
 Categoría MEDIA. Se realizarán las siguientes inspecciones

previas a la entrada en servicio:
 Análisis de vulnerabilidades.
 Pruebas de penetración.
 Categoría ALTA. Se realizarán las siguientes inspecciones

previas a la entrada en servicio:
 Análisis de coherencia en la integración en los procesos.
 Se considerará la oportunidad de realizar una auditoría

de código fuente.
 Protección de la información.
 Calificación de la información.
 Nivel BAJO:
 Para calificar la información se estará a lo establecido

legalmente sobre la naturaleza de la misma.
 La política de seguridad establecerá quién es el respon-

sable de cada información manejada por el sistema.
 La política de seguridad recogerá, directa o indirecta-

mente, los criterios que, en cada organización, deter-
minarán el nivel de seguridad requerido, dentro del
marco establecido en el artículo 43 y los criterios ge-
nerales prescritos en el Anexo I.
 El responsable de cada información seguirá los crite-

rios determinados en el apartado anterior para asig-
nar a cada información el nivel de seguridad requeri-
do, y será responsable de su documentación y apro-
bación formal.
 El responsable de cada información en cada momento

tendrá en exclusiva la potestad de modificar el nivel
de seguridad requerido, de acuerdo a los apartados
anteriores.
49
 Nivel MEDIO. Se redactarán los procedimientos necesarios

que describan, en detalle, la forma en que se ha de etique-
tar y tratar la información en consideración al nivel de segu-
ridad que requiere; y precisando cómo se ha de realizar:
 Su control de acceso.
 Su almacenamiento.
 La realización de copias.
 El etiquetado de soportes.
 Su transmisión telemática.
 Y cualquier otra actividad relacionada con dicha infor-

mación.
 Firma electrónica. Se empleará la firma electrónica como un ins-

trumento capaz de permitir la comprobación de la autenticidad
de la procedencia y la integridad de la información ofreciendo las
bases para evitar el repudio.
 Sellos de tiempo. Los sellos de tiempo prevendrán la posibilidad

del repudio posterior:
 Los sellos de tiempo se aplicarán a aquella información que

sea susceptible de ser utilizada como evidencia electrónica
en el futuro.
 Los datos pertinentes para la verificación posterior de la fe-
cha serán tratados con la misma seguridad que la informa-
ción fechada a efectos de disponibilidad, integridad y confi-
dencialidad.
 Se renovarán regularmente los sellos de tiempo hasta que
la información protegida ya no sea requerida por el proceso
administrativo al que da soporte.
 Se utilizarán productos certificados o servicios externos
admitidos.
 Se emplearán "sellos cualificados de tiempo electrónicos"
acordes con la normativa europea en la materia.
 Limpieza de documentos. En el proceso de limpieza de docu-
mentos, se retirará de estos toda la información adicional conte-
nida en campos ocultos, meta-datos, comentarios o revisiones
anteriores, salvo cuando dicha información sea pertinente para el
receptor del documento.
50
Esta medida es especialmente relevante cuando el

documento se difunde ampliamente, como ocurre
cuando se ofrece al público en un servidor web u
otro tipo de repositorio de información.
Se tendrá presente que el incumplimiento de esta medida puede

perjudicar:
 Al mantenimiento de la confidencialidad de información que
no debería haberse revelado al receptor del documento.
 Al mantenimiento de la confidencialidad de las fuentes u
orígenes de la información, que no debe conocer el recep-
tor del documento.
 A la buena imagen de la organización que difunde el docu-
mento por cuanto demuestra un descuido en su buen hacer.
 Copias de seguridad. Se realizarán copias de seguridad que per-
mitan recuperar datos perdidos, accidental o intencionadamente
con una antigüedad determinada.
Estas copias poseerán el mismo nivel de seguridad

que los datos originales en lo que se refiere a inte-
gridad, confidencialidad, autenticidad y trazabili-
dad. En particular, se considerará la conveniencia o ne-
cesidad, según proceda, de que las copias de seguridad
estén cifradas para garantizar la confidencialidad.
Las copias de seguridad deberán abarcar:

 Información de trabajo de la organización.
 Aplicaciones en explotación, incluyendo los sistemas opera-
tivos.
 Datos de configuración, servicios, aplicaciones, equipos, u
otros de naturaleza análoga.
 Claves utilizadas para preservar la confidencialidad de la in-
formación.
51
 Protección de los servicios.
 Protección del correo electrónico. El correo electrónico se pro-

tegerá frente a las amenazas que le son propias, actuando del si-
guiente modo:
 La información distribuida por medio de correo electrónico,

se protegerá, tanto en el cuerpo de los mensajes, como en
los anexos.
 Se protegerá la información de encaminamiento de mensa-

jes y establecimiento de conexiones.
 Se protegerá a la organización frente a problemas que se

materializan por medio del correo electrónico, en concreto:
 Correo no solicitado, en su expresión inglesa «spam».
 Programas dañinos, constituidos por virus, gusanos,

troyanos, espías, u otros de naturaleza análoga.
 Código móvil de tipo «applet».
 Se establecerán normas de uso del correo electrónico por

parte del personal determinado. Estas normas de uso con-
tendrán:
 Limitaciones al uso como soporte de comunicaciones

privadas.
 Actividades de concienciación y formación relativas al

uso del correo electrónico.
 Protección de servicios y aplicaciones web. Los subsistemas

dedicados a la publicación de información deberán ser protegi-
dos frente a las amenazas que les son propias.
 Cuando la información tenga algún tipo de control de acce-

so, se garantizará la imposibilidad de acceder a la informa-
ción obviando la autenticación, en particular tomando me-
didas en los siguientes aspectos:
 Se evitará que el servidor ofrezca acceso a los docu-

mentos por vías alternativas al protocolo determinado.
 Se prevendrán ataques de manipulación de URL.
52
 Se prevendrán ataques de manipulación de fragmen-

tos de información que se almacena en el disco duro
del visitante de una página web a través de su nave-
gador, a petición del servidor de la página, conocido
en terminología inglesa como "cookies".
 Se prevendrán ataques de inyección de código.
 Se prevendrán intentos de escalado de privilegios.

 Se prevendrán ataques de "cross site scripting".
 Se prevendrán ataques de manipulación de programas o
dispositivos que realizan una acción en representación de
otros, conocidos en terminología inglesa como "proxies" y,
sistemas especiales de almacenamiento de alta velocidad,
conocidos en terminología inglesa como "cachés".
 Protección frente a la denegación de servicio. Se establecerán
medidas preventivas y reactivas frente a ataques de denegación
de servicio (DOS Denial of Service). Para ello:
 Se planificará y dotará al sistema de capacidad suficiente
para atender a la carga prevista con holgura.
 Se desplegarán tecnologías para prevenir los ataques cono-
cidos.
 Se establecerá un sistema de detección de ataques de de-
negación de servicio.
 Se establecerán procedimientos de reacción a los ataques,
incluyendo la comunicación con el proveedor de comunica-
ciones.
 Se impedirá el lanzamiento de ataques desde las propias
instalaciones perjudicando a terceros.
de medios alternativos para prestar los servicios en el caso de
que fallen los medios habituales.
Estos medios alternativos estarán sujetos a las mismas

garantías de protección que los medios habituales.
53
4.1.1.2. Medidas contempladas por el CNPIC
El CNPIC (Centro Nacional de Protección de Infraestructuras y Ciberseguridad)

ha elaborado una serie de guías en relación con la ciberseguridad en las TIC
(Tecnologías de la Información y la Comunicación), las conocidas como las Guías
480 SCADA. Su contenido es muy similar al recogido en el Anexo II del Real De-
creto 3/2010, expuesto en el epígrafe anterior. No obstante, señala que en el
mercado existen numerosas empresas y herramientas centradas en el entorno
SCADA, entre las que cabe destacar las siguientes:
 Digital Bond.
 ABB Group.
 Lauer.
 Indusoft Web Studio.
 eXpert Manager, de Satec.
 Wonderware HMI/SCADA.
 CitectHMI y CitectSCADA.
 MiSCADA.
 WinMachLite, de Automata.
 PcVue Software SCADA.
 Jako Scada.
 Control Maestro y Wizcon Supervisor, de Elutions.
Los sistemas SCADA o sistemas de Supervisión,

Control y Adquisición de Datos comprenden todas
aquellas soluciones de aplicación que recogen medi-
das y datos operativos de equipos de control locales
y remotos. Los datos se procesan para determinar si
los valores están dentro de los niveles de tolerancia y,
de ser necesario, tomar medidas correctivas para
mantener la estabilidad y el control.
54
4.1.2. RESPONSABLE DE LA SEGURIDAD DE LA INFORMACIÓN
Los operadores de servicios esenciales designarán una persona, unidad u ór-

gano colegiado, responsable de la seguridad de la información que ejercerá
las funciones de punto de contacto y coordinación técnica con la autoridad
competente y CSIRT de referencia que le corresponda.
En el supuesto de que el responsable de seguridad de la información sea una

unidad u órgano colegiado, se deberá designar una persona física representan-
te, así como un sustituto de este que asumirá sus funciones en casos de ausen-
cia, vacante o enfermedad.
El plazo para llevar a cabo dicha designación será de

tres meses desde su designación como operador de
servicios esenciales.
Los operadores de servicios esenciales comunicarán a la autoridad competente

respectiva la designación del responsable de la seguridad de la información
dentro del plazo establecido en el apartado anterior, así como los nombramien-
tos y ceses que afecten a la designación del responsable de la seguridad de la
información en el plazo de un mes desde que aquellos se produzcan.
El responsable de la seguridad de la información actuará como punto de con-

tacto con la autoridad competente en materia de supervisión de los requisitos
de seguridad de las redes y sistemas de información, y como punto de contacto
especializado para la coordinación de la gestión de los incidentes con el CSIRT
de referencia. Se desarrollarán bajo su responsabilidad, entre otras, las si-
guientes funciones:
 Elaborar y proponer para aprobación por la organización las políticas

de seguridad, que incluirán las medidas técnicas y organizativas, ade-
cuadas y proporcionadas, para gestionar los riesgos que se planteen
para la seguridad de las redes y sistemas de información utilizados y
para prevenir y reducir al mínimo los efectos de los ciberincidentes que
afecten a la organización y los servicios.
55
 Supervisar y desarrollar la aplicación de las políticas de seguridad, nor-

mativas y procedimientos derivados de la organización, supervisar su
efectividad y llevar a cabo controles periódicos de seguridad.
 Elaborar el documento de Declaración de Aplicabilidad de medidas de

seguridad.
 Actuar como capacitador de buenas prácticas en seguridad de las re-

des y sistemas de información, tanto en aspectos físicos como lógicos.
 Remitir a la autoridad competente, a través del CSIRT de referencia y

sin dilación indebida, las notificaciones de incidentes que tengan efec-
tos perturbadores en la prestación de los servicios a los que se refiere
el artículo 19.1 del Real Decreto-ley 12/2018, de 7 de septiembre.
 Recibir, interpretar y supervisar la aplicación de las instrucciones y guías

emanadas de la autoridad competente, tanto para la operativa habitual
como para la subsanación de las deficiencias observadas.
 Recopilar, preparar y suministrar información o documentación a la au-

toridad competente o el CSIRT de referencia, a su solicitud o por propia
iniciativa.
El responsable de la seguridad de la información, pa-

ra desarrollar estas funciones, se podrá apoyar en
servicios prestados por terceros.
Los operadores de servicios esenciales garantizarán que el responsable de la

seguridad de la información cumpla con los siguientes requisitos:
 Contar con personal con conocimientos especializados y experiencia en

materia de ciberseguridad, desde los puntos de vista organizativo, téc-
nico y jurídico, adecuados al desempeño de las funciones indicadas en
el apartado anterior.
 Contar con los recursos necesarios para el desarrollo de dichas funcio-

nes.
56
 Ostentar una posición en la organización que facilite el desarrollo de

sus funciones, participando de forma adecuada y en tiempo oportuno
en todas las cuestiones relativas a la seguridad, y manteniendo una
comunicación real y efectiva con la alta dirección.
 Mantener la debida independencia respecto de los responsables de las

redes y los sistemas de información.
Siempre que concurran los requisitos de conocimiento, experiencia, indepen-

dencia y, en su caso, titulación, las funciones y responsabilidades encomenda-
das al responsable de la seguridad de la información podrán compatibilizarse
con las señaladas para el Responsable de Seguridad y Enlace y el Responsable
de Seguridad del Esquema Nacional de Seguridad, de conformidad con lo dis-
puesto en la normativa aplicable a estas figuras.
4.1.3. NOTIFICACIÓN DE LAS INCIDENCIAS
Los operadores de servicios esenciales y los proveedores de servicios digitales

deberán gestionar y resolver los incidentes de seguridad que afecten a las redes
y sistemas de información utilizados para la prestación de sus servicios. En el
caso de redes y sistemas que no sean propios los operadores deberán tomar
las medidas necesarias para garantizar que dichas acciones se lleven a cabo por
los proveedores externos.
Los operadores de servicios esenciales notificarán a la autoridad competente

respectiva, a través del CSIRT de referencia, los incidentes que puedan tener
efectos perturbadores significativos en dichos servicios, considerándose a
tal efecto los incidentes con un nivel de impacto crítico, muy alto o alto, se-
gún el detalle que se especifica en el apartado 4 de la Instrucción nacional de no-
tificación y gestión de ciberincidentes, que consta como Anexo al Real Decreto.
Asimismo, notificarán los sucesos o incidencias que, por su nivel de peligrosi-

dad, puedan afectar a las redes y sistemas de información empleados para la
prestación de los servicios esenciales, aun cuando no hayan tenido todavía un
efecto adverso real sobre aquellos. A estos efectos, se considerarán los inci-
dentes con un nivel de peligrosidad crítico, muy alto o alto, según el detalle
que se especifica en el apartado 3 de la citada Instrucción que consta como
Anexo al Real Decreto.
57
Los operadores de servicios esenciales deberán realizar una primera notifica-

ción tan pronto como dispongan de información para determinar que se dan
las circunstancias para la notificación, atendiendo a los factores y umbrales co-
rrespondientes.
Se efectuarán las notificaciones intermedias que sean precisas para actualizar o

completar la información incorporada a la notificación inicial, e informar sobre la
evolución del incidente, mientras este no esté resuelto, y se realizará una notifi-
cación final del incidente tras su resolución, informando del detalle de la evolu-
ción del suceso, la valoración de la probabilidad de su repetición, y las medidas
correctoras que eventualmente tenga previsto adoptar el operador. Los umbra-
les temporales exigidos para dichas notificaciones serán los recogidos en el
anexo de este real decreto.
Las notificaciones incluirán, en cuanto esté disponible, la información que per-

mita determinar cualquier efecto transfronterizo del incidente.
VENTANA TEMPORAL DE REPORTE:
Nivel de peligrosidad o Notificación Notificación Notificación

impacto inicial intermedia final
CRÍTICO Inmediata 24/48 horas 20 días
MUY ALTO Inmediata 72 horas 40 días
ALTO Inmediata - -
MEDIO - - -
BAJO - - -
 La notificación inicial es una comunicación consistente en poner en

conocimiento y alertar de la existencia de un incidente.
 La notificación intermedia es una comunicación mediante la que se

actualizarán los datos disponibles en ese momento relativos al inciden-
te comunicado.
 La notificación final es una comunicación final mediante la que se

amplían y confirman los datos definitivos relativos al incidente comuni-
cado.
58
NIVEL DE PELIGROSIDAD:
Ataques dirigidos contra organizaciones concretas, sustentados en

mecanismos muy sofisticados de ocultación, anonimato y
Nivel crítico persistencia. Esta amenaza habitualmente emplea técnicas de
ingeniería social para conseguir sus objetivos junto con el uso de
procedimientos de ataque conocidos o genuinos.
Distribución de malware.
Configuración de malware.
Nivel muy
Robo.
alto
Sabotaje.
Interrupciones.
Pornografía infantil, contenido sexual o violento inadecuado.

Sistema infectado.
Servidor C&C (Mando y Control).
Compromiso de aplicaciones.
Compromiso de cuentas con privilegios.
Ataque desconocido.
Nivel alto
DoS (Denegación de servicio).
DDoS (Denegación distribuida de servicio).
Acceso no autorizado a información.
Modificación no autorizada de información.
Pérdida de datos.
Phishing.
59
Discurso de odio.
Ingeniería social.
Explotación de vulnerabilidades conocidas.
Intento de acceso con vulneración de credenciales.
Compromiso de cuentas sin privilegios.
Desconfiguración.
Uso no autorizado de recursos.
Nivel medio
Derechos de autor.
Suplantación.
Criptografía débil.
Amplificador DDoS.
Servicios con acceso potencial no deseado.
Revelación de información.
Sistema vulnerable.
Spam.
Escaneo de redes (scanning).
Nivel bajo
Análisis de paquetes (sniffing).
Otros.
60
¿QUÉ HAS APRENDIDO?
En esta unidad didáctica has aprendido que la evolución de las tecnologías de

la información y de la comunicación, especialmente con el desarrollo de In-
ternet, ha hecho que las redes y sistemas de información desempeñen ac-
tualmente un papel crucial en nuestra sociedad, siendo su fiabilidad y seguridad
aspectos esenciales para el desarrollo normal de las actividades económicas y
sociales.
Por ello, los incidentes que, al afectar a las redes y sistemas de información, al-
teran dichas actividades, representan una grave amenaza, pues tanto si son
fortuitos como si provienen de acciones deliberadas pueden generar pérdidas
financieras, menoscabar la confianza de la población y, en definitiva, causar gra-
ves daños a la economía y a la sociedad, con la posibilidad de afectar a la propia
seguridad nacional en la peor de las hipótesis.
Por tanto, es oportuno establecer mecanismos que, con una perspectiva inte-
gral, permitan mejorar la protección frente a las amenazas que afectan a las
redes y sistemas de información, facilitando la coordinación de las actuaciones
realizadas en esta materia tanto a nivel nacional como con los países de nuestro
entorno, en particular, dentro de la Unión Europea.
La legislación española en esta materia, que tiene como punto de referencia la

Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de
2016, es la siguiente:
 Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las re-

des y sistemas de información.
 Real Decreto 43/2021, de 26 de enero, por el que se desarrolla el Real
Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y
sistemas de información.
61
AUTOCOMPROBACIÓN
1. Según la ENC19, ¿qué acciones usan el ciberespacio como medio para

realizar actividades maliciosas o ilícitas?
a) Cibercriminalidad.
b) Ciberespionaje.
c) Ciberamenazas.
d) Las respuestas a) y b) son correctas.
2. ¿Qué es una ciberamenaza?
a) Son todas aquellas disrupciones o manipulaciones no maliciosas que afec-

tan a elementos tecnológicos. Abarcan un amplio abanico de acciones.
b) Son todas aquellas disrupciones o manipulaciones maliciosas que afec-

c) Son todas aquellas disrupciones o manipulaciones maliciosas que no afec-

d) Son todas aquellas disrupciones o manipulaciones no maliciosas que no

afectan a elementos tecnológicos. Abarcan un amplio abanico de acciones.
63
3. El plazo para llevar a cabo la designación del responsable de la seguri-

dad de la información será de:
a) Tres meses desde su designación como operador de servicios esenciales.
b) Cuatro meses desde su designación como operador de servicios esen-

ciales.
c) Cinco meses desde su designación como operador de servicios esenciales.
d) Seis meses desde su designación como operador de servicios esenciales.
4. ¿Qué se entiende por incidente?
a) Suceso inesperado o no deseado con consecuencias en detrimento de la

seguridad de las redes y sistemas de información.
b) Toda circunstancia o hecho razonablemente identificable que tenga un

posible efecto adverso en la seguridad de las redes y sistemas de infor-
mación.
c) servicio necesario para el mantenimiento de las funciones sociales bási-

cas, la salud, la seguridad, el bienestar social y económico de los ciuda-
danos, o el eficaz funcionamiento de las Instituciones del Estado y las
Administraciones Públicas, que dependa para su provisión de redes y sis-
temas de información.
d) Ninguna de las respuestas anteriores es correcta.
5. ¿Qué Directiva Europea obliga a los Estados miembros a identificar a

aquellos operadores que presten servicios esenciales para que tomen
las medidas técnicas y de organización adecuadas y proporcionadas
para gestionar los riesgos que se planteen para la seguridad de las re-
des y sistemas de información que utilizan en sus operaciones?
a) Directiva (UE) 2016/1048
b) Directiva (UE) 2016/1158
c) Directiva (UE) 2016/1148
d) Directiva (UE) 2016/2148
64
6. ¿Qué norma de las siguientes tiene por objeto regular la seguridad de

las redes y sistemas de información utilizados para la provisión de los
servicios esenciales y de los servicios digitales, y establecer un sistema
de notificación de incidentes?
a) Real Decreto-ley 12/2008, de 7 de septiembre, de seguridad de las redes

y sistemas de información.
b) Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes

c) Real Decreto-ley 12/1998, de 7 de septiembre, de seguridad de las redes

d) Real Decreto-ley 12/1988, de 7 de septiembre, de seguridad de las redes

7. ¿Cuál es el ámbito subjetivo de aplicación del Real Decreto-Ley 12/2018?
a) Los servicios esenciales dependientes de las redes y sistemas de infor-

mación comprendidos en los sectores estratégicos.
b) Los servicios digitales que sean mercados en línea, motores de búsque-

da en línea y servicios de computación en nube.
c) Las respuestas a) y b) son correctas.
d) A todas las autoridades públicas.
8. ¿Qué se entiende por mercado de línea?
a) Es un tipo de servicio de comercio electrónico en el que múltiples ope-

radores económicos ofrecen productos para la venta.
b) Es un servicio de la sociedad de la información que realiza búsquedas en

una base de datos propia o ajena.
c) Es un servicio que hace posible el acceso a un conjunto modulable y

elástico de recursos informáticos que se pueden compartir.
d) Las respuestas b) y c) son correctas.
65
9. ¿Qué artículo del Real Decreto-ley 12/2018, dispone que los operado-
res de servicios esenciales y los proveedores de servicios digitales de-
berán adoptar medidas técnicas y de organización, adecuadas y pro-
porcionadas, para gestionar los riesgos que se planteen para la segu-
ridad de las redes y sistemas de información utilizados en la presta-
ción de los servicios?
a) Artículo 15.
b) Artículo 16.
c) Artículo 17.
d) Artículo 18.
10. ¿A quién se deben notificar las incidencias de seguridad?
a) El CCN-CERT, del Centro Criptológico Nacional.
b) El INCIBE-CERT, del Instituto Nacional de Ciberseguridad de España.
c) El ESPDEF-CERT, del Ministerio de Defensa.
d) Todas las respuestas anteriores son correctas, dependiendo de los fac-

tores concurrentes.
11. ¿En qué normas se relacionan las medidas de marco operacional, me-
didas en el marco organizativo y las medidas de protección a las que
hace referencia el Real Decreto 43/2021?
a) Anexo II del Real Decreto 3/2010.
b) Anexo II del Real Decreto 3/2020.
c) Anexo II del Real Decreto 6/2010.
d) Anexo II del Real Decreto 3/2015.
12. Los operadores de servicios esenciales deberán elaborar:
a) Una Declaración de Aplicabilidad de medidas de seguridad.
b) Una Declaración Responsable.
c) Un registro periódico de los documentos elaborados.
66
13. ¿De qué fecha es el Real Decreto-ley 12/2018 de seguridad de las redes
y sistemas de información?
a) 7 de septiembre.
b) 7 de mayo.
c) 7 de octubre.
d) 7 de diciembre.
14. ¿Qué se requiere en todo control de acceso?
a) Que todo acceso esté prohibido, que la utilización de los recursos esté
protegida y que se controle tanto el acceso local como el acceso remoto.
b) Que todo acceso esté prohibido, que la utilización de los recursos esté
protegida y que se controle tanto el acceso local como el acceso remoto.
Que la entidad quede identificada singularmente.
c) Que todo acceso esté prohibido, salvo concesión expresa.
15. ¿Cuál de las siguientes afirmaciones sobre la identificación no es co-

rrecta?
a) Se podrán utilizar como identificador único los sistemas de identificación

previstos en la normativa de aplicación.
b) Cuando el usuario tenga diferentes roles frente al sistema recibirá identi-

ficadores singulares para cada uno de los casos de forma que siempre
queden delimitados privilegios y registros de actividad.
c) Cuando hay segregación de las funciones y tareas del sistema de control

de acceso.
d) Las cuentas de usuario se gestionarán de la siguiente forma: Cada cuen-

ta estará asociada a un identificador único y deben ser inhabilitadas
cuando el usuario deje la organización o cuando la persona que autorizó
da orden en sentido contrario.
67
16. ¿Qué se entiende por «periodo de retención»?
a) Las cuentas no se retendrán durante el periodo necesario para atender

a las necesidades de trazabilidad de los registros de actividad asociados
a las mismas.
b) Las cuentas se retendrán durante el periodo necesario para atender a

las necesidades de trazabilidad de los registros de actividad no asocia-
dos a las mismas.
c) Las cuentas se retendrán durante el periodo de un mes para atender a

las necesidades de trazabilidad de los registros de actividad asociados a
las mismas.
d) Las cuentas se retendrán durante el periodo necesario para atender a

las necesidades de trazabilidad de los registros de actividad asociados a
las mismas.
17. ¿Qué se entiende por la regla de «mínima funcionalidad»?
a) El sistema debe proporcionar la funcionalidad requerida para que la or-

ganización alcance sus objetivos y ninguna otra funcionalidad. No pro-
porcionará funciones gratuitas. Y se eliminará mediante el control de la
configuración, aquellas funciones que no sean necesarias, e incluso,
aquellas que sean inadecuadas al fin que se persigue.
b) El sistema no debe proporcionar la funcionalidad requerida para que la

organización alcance sus objetivos y ninguna otra funcionalidad. No pro-
c) El sistema no debe proporcionar la funcionalidad requerida para que la

organización alcance sus objetivos y ninguna otra funcionalidad. Se pro-
d) El sistema debe proporcionar la funcionalidad requerida para que la or-

ganización alcance sus objetivos y ninguna otra funcionalidad. No pro-
porcionará funciones gratuitas. Y se instalaran mediante el control de la
68
18. ¿Qué medida se aplicará para mantener el equipamiento físico y lógico

que constituye el sistema?
a) Se atenderá a las especificaciones de los fabricantes en lo relativo a ins-

talación y mantenimiento de los sistemas y se efectuará un seguimiento
de los anuncios de defectos.
b) Se dispondrá de un procedimiento para analizar, priorizar y determinar

cuándo aplicar las actualizaciones de seguridad, parches, mejoras y nue-
vas versiones.
c) Las dos afirmaciones son correctas.
d) Ninguna de las respuestas es correcta.
19. ¿Cuáles son las «medidas de protección»?
a) Protección de las instalaciones e infraestructura, protección de las co-

municaciones, protectores de los soportes de información, protección de
las aplicaciones informáticas, protección de la información, y protección
de los servicios.
b) Protección de las instalaciones e infraestructura, gestión de personal,

protección de las comunicaciones, protectores de los soportes de infor-
mación, protección de las aplicaciones no informáticas, protección de la
información, y protección de los servicios.
c) Protección de las instalaciones e infraestructura, gestión de personal,

protección de las comunicaciones, protectores de los soportes de infor-
mación, protección de las aplicaciones informáticas, protección de la in-
formación, y protección de los servicios.
d) Protección de las instalaciones e infraestructura, protección de las co-

municaciones, protectores de los soportes de desinformación, protec-
ción de las aplicaciones informáticas, protección de la información, y pro-
tección de los servicios.
69
20. ¿Qué es una «notificación intermedia»?
a) Es una comunicación consistente en poner en conocimiento y alertar de

la existencia de un incidente.
b) Es una comunicación mediante la que se amplían y confirman los datos

definitivos relativos al incidente comunicado.
c) Es una comunicación mediante la que se actualizarán los datos disponi-

bles en ese momento relativos al incidente comunicado.
d) Es una comunicación de los ataques dirigidos contra organizaciones

concretas, sustentados en mecanismos muy sofisticados de ocultación,
anonimato y persistencia.
70
SOLUCIONARIO
1. d 2. b 3. a 4. a 5. c
6. b 7. c 8. a 9. b 10. d
11. a 12. a 13. a 14. d 15. c
16. d 17. a 18. c 19. c 20. c
71
BIBLIOGRAFÍA
 Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6

de julio de 2016, relativa a las medidas destinadas a garantizar un ele-
vado nivel común de seguridad de las redes y sistemas de información
en la Unión.
 Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las re-

des y sistemas de información.
 Real Decreto 43/2021, de 26 de enero, por el que se desarrolla el Real

Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y
sistemas de información.
 Estrategia Nacional de Ciberseguridad de 2019. Orden PCI/487/2019,

de 26 de abril, aprobada por el Consejo de Seguridad Nacional.
 Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema

Nacional de Seguridad en el ámbito de la Administración Electrónica.
73

Ciberseguridad. Parte I

Cargado por

Copyright:

Formatos disponibles

Ciberseguridad. Parte I

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Ciberseguridad. Parte I

Cargado por

Copyright:

Formatos disponibles

UD017861_V(01) MD.PlantillaTexto(04)Esp.

TU RETO EN ESTA UNIDAD ........................................................................ 3

TU RETO EN ESTA UNIDAD

En esta unidad didáctica vas a conocer la normativa aplicable en materia de ci-

¿Sabes cuál es el objeto de estas leyes? ¿Y su concreto ámbito de aplicación? En

Diccionario de la Lengua Española de la RAE.

En palabras del propio Consejo de Seguridad Nacional, el ciberespacio se pre-

En este sentido, la Estrategia Nacional de Ciberseguridad de 2019 (en adelante,

Por tanto, es necesario el apoyo, la promoción y la inversión en ciberseguridad

Las ciber amenazas son todas aquellas disrupciones

En relación con la ciber amenazas, la ENC19 entiende que la seguridad de las

Entre estas herramientas destacan los mecanismos

 Ciberespionaje. Conjunto de acciones coordinadas y sincronizadas di-

 Cibercriminalidad. Conjunto de actividades ilícitas cometidas en el ci-

Para conseguir un entorno seguro en el ciberespacio, la ENC19 propone varios

 Sociedades prestadoras de servicios de información. El sector pú-

En aplicación del principio de responsabilidad compartida, el sector

El fortalecimiento de la ciberseguridad requiere un

 Sector privado. La ciberseguridad es una responsabilidad compartida

 Sociedades prestadoras de servicios de información:

 Ampliar y fortalecer las capacidades de prevención, detección,

 Potenciar el desarrollo de la normativa sobre protección de infra-

 Asegurar la plena implantación del Esquema Nacional de Seguri-

 Potenciar, en el marco de sus competencias, la progresiva impli-

 Desarrollar el Centro de Operaciones de Ciberseguridad de la

 Reforzar la implantación de infraestructuras y servicios de tele-

 Impulsar el desarrollo de un sistema de métricas de las principa-

 Comprometer al sector público y al privado en la gestión de los

 Desarrollar catálogos de productos y servicios cualificados y certi-

 Reforzar las estructuras de seguridad y la capacidad de vigilancia

 Promover la realización de ciberejercicios y evaluaciones de ci-

 Asegurar la protección de las Infraestructuras Científico-Técnicas

 Ofrecer al sector privado un servicio público de ciberseguridad in-

 Impulsar la ciberseguridad en las pymes, micropymes y autóno-

 Promover la ciberseguridad para garantizar la privacidad y pro-

 Crear mecanismos ágiles y seguros de denuncia para el sector

 Estimular la cooperación entre actores públicos y privados, en

 Desarrollar mecanismos para la medida agregada del riesgo y su

 Impulsar en el sector empresarial la implantación de estándares

 Impulsar la implantación de sistemas fiables de identificación elec-

 Promover la creación del Foro Nacional de Ciberseguridad, que

2. DIRECTIVA (UE) 2016/1148

Directiva (UE) 2016/1148 del Parlamento Europeo

A fin de determinar si un incidente podría tener un efecto perturbador sig-

Incidente: todo hecho que tenga efectos adversos

 La seguridad de los sistemas e instalaciones.

3. REAL DECRETO-LEY 12/2018, DE 7

El Real Decreto Ley 12/2018, de 7 de septiembre, de Seguridad de las Redes

3.1. ÁMBITO DE APLICACIÓN

El Real Decreto Ley 12/2018 se aplicará sobre los siguientes sujetos:

1. Los servicios esenciales dependientes de las redes y sistemas de in-

Industria nuclear, industria química, instalaciones de

2. Los servicios digitales (todo servicio prestado normalmente a título

Un mercado en línea es un tipo de servicio de co-

3. Los operadores de servicios esenciales establecidos en España. Se en-

4. Los servicios esenciales que los operadores residentes o domiciliados

5. Los proveedores de servicios digitales que tengan su sede social en Es-

El Real Decreto Ley 12/2018 no se aplicará a:

3.2. OBLIGACIONES DE SEGURIDAD