redseguridad 076

especial directiva nis sobre la mesa red seguridad primer trimestre 2017 15 parte mínima en comparación con la segunda", aseguró Valiente, de CCI. Eso sí, en lo que todos los presentes estuvieron de acuerdo es en que la implantación en España del modelo de protección de infraestructuras críti- cas puede aportar muchas lecciones aprendidas a la hora de adaptar la nueva normativa europea. Y partiendo de la base de que la Administración española cuenta con una serie de limi- taciones en cuanto a la disposición de recursos o la contratación de personal, la necesidad de integración todavía resulta más importante. En palabras de Santos, de ISMS Forum, "hay que unificar los recursos disponibles, porque si no es así, no vamos a ser capaces de poder cumplir ninguna norma", sentenció. El directivo, de hecho, cree fundamental poner para este fin a un grupo de personas que se encargue de ello. No obstante, hay quien no lo ve tan claro. Por ejemplo, García Carmona, de Daranorte, puso sobre la mesa el problema del "protagonismo adminis- trativo", en tanto en cuanto hay muchas instituciones afectadas y todas quieren tener su protagonismo. Por eso, para el directivo, lo mejor es que el propio Gobierno tome las riendas y desarrolle "una ley que recoja todas las singulari- dades que haya", matizó. En este sentido, para Municio, de Deloitte, es importante que se concre- ten ciertos aspectos como los umbra- les de incidentes, los formatos de reporte o las herramientas empleadas para ello. Además, "los impactos aso- ciados a incidentes de seguridad varían en función de cada sector; a modo de ejemplo, no tendría el mismo impacto para la sociedad el fallo de una infra- estructura energética o de un nodo de comunicación que otras infraestructu- ras con menor grado de cobertura, por lo que, del mismo modo, las exigencias a nivel de reporting y comunicación de brechas de seguridad, deberían estar alineadas con estos factores", opinó. Asimismo, apuntó: "además, las estructuras y recursos también varían de un sector a otro, va a ser difícil pedir a un hospital que reporte las brechas de seguridad a diferentes reguladores y en diferentes formatos; se requiere estructura y capacidades para ello". Con esta afirmación se mostró de acuerdo Mitxelena, de S21sec, para quien es importante que la Administración "legisle con lógica" y detalle cuestiones como "de qué forma se han de medir los incidentes, cuáles serán los baremos para establecer los distintos tipos de incidentes, etcétera". Y es que, si no se hace así, para el directivo, "al final ocurrirá algo pronto que hará correr a todo el sector". Colaboración público-privada A partir de aquí se abordó el tema de la importancia de la colaboración de las administraciones con la indus- tria privada a la hora de implantar la Directiva NIS. Para Martínez, de Metro de Madrid, "la coordinación depen- de de la voluntad; es decir, de que se quiera colaborar". Claro que, para este profesional, sólo se puede conse- guir avanzando en la misma dirección, Los asistentes a la mesa coincidieron en señalar la importancia de establecer sanciones a las empresas que se salten los preceptos de la Directiva NIS. La importancia de los CSIRT en la Directiva NIS Una de las grandes novedades de la Directiva NIS es la creación de una red de equipos de respuesta a incidentes de seguridad informática (CSIRT, por sus siglas en inglés), que estará compuesta por el conjunto los CSIRT nacionales que tendrán que designar cada uno de los países de la Unión Europea. Según esta normativa, esta red se crea para "contribuir al desarrollo de la confianza y seguridad entre los Estados miembros, así como para promo- ver una cooperación operativa rápida y eficaz". Así pues, cada país deberá adoptar una serie de medidas y decisiones conforme a sus necesidades para adaptarse a esta Directiva. De hecho, la norma les hace responsables de garantizar unos niveles de seguridad tecnológica óptimos en dos tipos de organizaciones. Por un lado, los operadores de servicios esen- ciales de los siete sectores empresariales que delimita la norma como ámbito de actuación: Energía, Transporte, Banca, Mercados financieros, Sanitario, Suministro y distribución de agua potable e Infraestructuras digitales. Por otro, a los proveedores de servicios digitales, como pueden ser los motores de búsqueda o los servicios cloud . No obstante, la Directiva no se aplicará a las microempresas y pequeñas empresas dedicadas a estas actividades.