redseguridad 076

red seguridad primer trimestre 2017 13 En general, todos los expertos coin- cidieron en la idea que resumió Xavier Mitxelena , vicepresidente del Consejo de Administración de S21sec: "Es un primer estadío, una directiva de míni- mos para entender la sensibilidad del legislador", explicó. Ahora bien, más allá de eso, la nor- mativa ha dejado un sabor de boca agridulce entre los presentes en la mesa redonda. Para Pablo Municio , gerente de riesgos IT de Deloitte, "si bien es un buen esfuerzo, es necesario continuar avanzando y concretando aspectos como los requerimientos que afectarán a los operadores de servicios y pro- veedores TIC. Actualmente se centra más en el modelo de actores y en la construcción de la red de CSIRT [Equipos de Respuesta a Incidentes de Seguridad Informática, por sus siglas en inglés]". Se trata de una afirmación que también comparte García Carmona, de Daranorte: "En este nuevo escenario de regulación se han preocupado en un 80 además, hay organismos sectoriales que requieren también comunicaciones de incidentes. Si tenemos que reportar a cada uno de ellos de forma distinta, puede suponer un problema", explicó. Por eso, abogó por la creación de "una ventanilla única", porque resulta "más lógico optar por algo normalizado y estándar, y también es una forma de optimizar recursos". Claro que, pun- tualizó el invitado, "otra cosa es que haya decisiones políticas detrás para aprobar la creación de un organismo desde cero". Al respecto también se pronunció Santos, de ISMS Forum, quien puso sobre la mesa el caso de las empresas públicas que están integradas en el Estado. Ellas tienen la obligación de ges- tionar los incidentes según el Esquema Nacional de Seguridad y reportarlos al CERT del Centro Criptológico Nacional (CCN-CERT), pero si se trata de una infraestructura crítica, tienen que hacer- por ciento más de la parte estructural, con la creación de los distintos meca- nismos de ciberseguridad, y han dejado sólo un 20 por ciento para la base, con la definición de operadores, medidas apropiadas en aspectos de seguridad, notificación incidentes, etcétera". De hecho, este profesional echa en falta "un poco más de equilibrio" en este sentido. Precisamente, el punto de vista del operador estuvo representado a través de Antonio Martínez , responsable de Seguridad Informática de Metro de Madrid. Para Martínez, esta legislación también deja aspectos sin definir desde el punto de vista de los operadores. "Es un tanto ambigua y nos va a suponer muchos esfuerzos para ver cómo pue- den converger todas las leyes que hay sobre la mesa", indicó. De igual forma se pronunció Javier Zubieta , responsable de Desarrollo de Negocio de Ciberseguridad de GMV: "Por un lado, estamos avanzando y haciendo esfuerzos para cumplir la Ley PIC [Ley sobre Protección de las Infraestructuras Críticas]. Ahora hay que adaptar también la Directiva NIS, que se juntará en 2018 con la obligato- riedad para las empresas de cumplir el Reglamento General de Protección de Datos de la UE. Por tanto, los operado- res privados se tendrán que poner las pilas para adaptarse a las tres", explicó. No en vano, las infraestructuras críti- cas son el ámbito en el que la Directiva NIS afectará más de lleno, tal y como recordó Enrique Polanco , socio direc- tor de Global Technology 4E. "Parece que el objetivo de esta legislación es crear normativa para que las compa- ñías de estos sectores reporten sus incidentes. Habrá que ver cómo se transpone al ordenamiento jurídico español", observó. Porque, a juicio de Polanco, hay diferencias entre la Ley PIC y la Directiva NIS en determinados conceptos y en los sectores que se pueden ver afectados. La transposición de la Directiva A partir de ahí, el debate se focali- zó en saber de qué manera puede llevar a cabo esa transposición la Administración española. Martínez, de Metro de Madrid, cree necesaria la existencia de "una autoridad o punto único común" que sirva de elemen- to de coordinación. "Crear nuevas estructuras implica destinar recursos y desaprovechar años de conocimiento; directiva nis sobre la mesa José Valiente Director del Centro de Ciberseguridad Industrial "La Directiva NIS y la Ley PIC tienen grandes diferencias por los sectores afectados. Hay que tenerlo en cuenta porque la primera afecta a una parte mínima comparada con la segunda" Javier García Carmona Responsable de Daranorte "Para la transposición de la Directiva NIS, es necesario que haya una estructura clara y definitiva del estamento o estamentos que desempeñarán las funciones de órgano de coordinación"