Valoración
  • Actualmente 0 de 5 Estrellas.
Tu valoración
  • Actualmente 0 de 5 Estrellas.
  • 1
  • 2
  • 3
  • 4
  • 5
OPINIÓN

Editorial 82, Tercer trimestre 2018

Un refuerzo para todos

España acaba de adaptar su ordenamiento jurídico a la directiva europea sobre seguridad de las redes y sistemas de la información, la Directiva NIS, con la aprobación, el 7 de septiembre, de un real decreto-ley sobre la materia.

La medida ha llegado una vez superado el plazo concedido por la Comisión Europea para su trasposición a las legislaciones nacionales, con la consiguiente apertura de un procedimiento de infracción. El proyecto de esta norma ya estaba pergeñado desde hacía tiempo por parte de las instituciones y organismos implicados, pero parece que, como otros, acaba enquistado debido a la situación política. La norma ha salido adelante después de todo, pero el debate sobre ella no ha terminado, como pusieron de manifiesto los diputados de los principales partidos políticos en la jornada CiberTodos de ISACA Madrid. 

Pero al margen de las posiciones de nuestros dirigentes, la "Ley NIS" supone un impulso a la seguridad de la información nacional. Tanto para las empresas sujetas a ella, los operadores de servicios esenciales y proveedores de servicios digitales, como para el Estado y la sociedad en su conjunto, que se beneficiarán de contar con organizaciones más protegidas en la Red. Especialmente las infraestructuras críticas, que ya tienen una referencia en la normativa específica sobre estos entornos, si bien se verán beneficiadas por el refuerzo que supone esta nueva norma a la hora de implantar medidas de seguridad. La Ley NIS sigue los pasos que se han dado hasta la fecha en cuestión de regulación sobre protección de infraestructuras críticas en muchos sentidos.

Eso no huelga para mencionar que precisamente esto abre la vía a posibles modificaciones de la Ley PIC, que fue concebida para construir y ordenar el Sistema de Protección de Infraestructuras Críticas obviando aspectos como el régimen sancionados. En ese sentido, la filosofía de una norma y otra son diferentes hasta el momento, pero deben acabar convergiendo para engranar a la perfección y no generar ambigüedad entre ambas.

Volviendo a la Ley NIS, destaca no solo que obliga a contar con unas medidas de seguridad sino también el establecimiento de un sistema de notificación de incidentes, así como un marco de colaboración entre instituciones y el sector privado. La designación de autoridades y la necesidad de comunicar los ataques sufridos añade complejidad a la tarea de las organizaciones, pero servirá para conocer cómo reforzar las defensas tanto de esas empresas como del propio Estado. Las compañías son, al fin de al cabo, las que poseen la información más valiosa sobre ese espacio llamado Internet y compartirla con las autoridades permitirá mejorar la prevención y la respuesta en ataques masivos como WannaCry o Petya. Será importante, no obstante, crear un marco de confianza para que las empresas se sientan cómodas con este proceso de notificación y estén seguras de que sus datos sensibles son confidenciales. La Ley NIS recoge que así será, al asegurar la confidencialidad de los datos que se notifiquen, pero no especifica cómo lo hará.

Probablemente el Reglamento de desarrollo aclare las dudas. Aquí entraría también conocer si la regulación NIS supondrá un impulso realmente para la figura del CISO, pues la norma señala la obligación de nombrar a "la persona, unidad u órgano colegiado responsable de la seguridad de la información, como punto de contacto y de coordinación técnica con a la autoridad competente"; pero no concreta mucho más, ni atribuye aspectos que apunten inequívocamente a este profesional como protagonista de este precepto. Sería importante, pues, aclarar sin ambages este asunto y no generar disensiones con otras figuras profesionales, sobre todo para saber si realmente esta disposición tendrá calado para este profesional o si, en realidad, todo va a seguir como hasta ahora. 

Volver

Newsletter

¿Quieres estar informado? Ya puedes suscribirte GRATIS a nuestra newsletter mensual