REDSEGURIDAD 083

16 red seguridad cuarto trimestre 2018 pic monográfico opinión tico, los CSIRT de referencia se coordinarán con el Ministerio del Interior, a través de la Oficina de Coordinación Cibernética del CNPIC . Punto de contacto nacional: La figura de Punto de Contacto Único se asigna, en el artículo 13, al Consejo de Seguridad Nacional, que ejercerá, a través del Departamento de Seguridad Nacional, una función de enlace para garantizar la cooperación transfronte- riza de las autoridades competentes nacionales con otros Estados miem- bros de la Unión Europea, así como con el grupo de cooperación y la red de CSIRT. Obligaciones de seguridad: El Título IV (artículo 16 y ss.) establece que los operadores de servicios esen- ciales y los proveedores de servicios digitales deberán adoptar medidas téc- nicas y de organización, adecuadas y proporcionadas, para gestionar los riesgos que se planteen para la segu- ridad de las redes y sistemas de infor- mación utilizados en la prestación de los servicios sujetos al anteproyecto. Además, deberán tomar medidas adecuadas para prevenir y reducir al mínimo el impacto de los incidentes que les afecten. Estas medidas debe- rán de ser auditadas por parte de las autoridades competentes, de las cuales la principal, por el volumen de sujetos obligados, es la Secretaría de Estado de Seguridad. Este título, que de forma tan sucinta es abordado en este artículo, pero que encierra, junto con el siguiente (Título V, notificación de incidentes), la esencia de lo que los sujetos obligados por el RDL deberán poner en marcha, de la mano de autoridades y CSIRT, deberá ser desarrollado reglamentariamente en los próximos meses. A día de hoy ya se encuentra trabajando un grupo de redacción de los departamentos res- ponsables para determinar con exacti- tud dichas medidas. En lo que respecta al colectivo de los operadores críticos que pudieran verse afectados por la normativa de seguridad de las redes y sistemas de información, el CNPIC, en uso de sus atribuciones, ha abierto un è El INCIBE-CERT, del Instituto Nacional de Ciberseguridad de España, al que corresponde la comunidad de referencia consti- tuida por aquellas entidades no incluidas en el ámbito subjetivo de aplicación de la Ley 40/2015, de 1 de octubre, de régimen jurídico del sector público. El anteproyec- to establece que el INCIBE-CERT será operado conjuntamente por el Incibe y el CNPIC en todo lo que se refiera a la gestión de inciden- tes que afecten a los operadores críticos. è El ESPDEF-CERT, del Mando Conjunto de Ciberdefensa, que cooperará con el CCN-CERT y el INCIBE-CERT en aquellas situacio- nes que éstos requieran en apoyo de los operadores de servicios esenciales y, necesariamente, en aquellos operadores que tengan incidencia en la Defensa Nacional y que reglamentariamente se deter- minen. En lo concerniente a las relaciones con proveedores de servicios digitales que no estuvieren comprendidos en la comunidad de referencia del CCN- CERT: è El INCIBE-CERT. El artículo 11.2 del RDL determina dos previsiones de singular interés, que de alguna manera marca las capa- cidades y el liderazgo en la coordi- nación de una serie de supuestos especiales: 1 Que en aquellos supuestos de especial gravedad que requieran un nivel de coordinación superior al necesario en situaciones ordi- narias, el CCN-CERT ejercerá la coordinación nacional de la res- puesta técnica de los CSIRT . 2 Que cuando las actividades que desarrollen puedan afectar de alguna manera a un operador crí- tente el Ministerio de Defensa, a tra- vés del Centro Criptológico Nacional . El Consejo de Seguridad Nacional, a través de su comité especializado en materia de ciberseguridad, establecerá los mecanismos necesarios para la coordinación de las actuaciones de las diferentes autoridades competentes. CSIRT de referencia: El RDL crea (artículo 11) la figura de los equipos de respuesta a incidentes de seguridad informática (CSIRT) de referencia en materia de seguridad de las redes y sistemas de información, siendo estos: En lo concerniente a los operadores de servicios esenciales: è El CCN-CERT, del Centro Criptológico Nacional, al que corresponde la comunidad de refe- rencia constituida por las entidades del ámbito subjetivo de aplicación de la Ley 40/2015, de 1 de octu- bre, de régimen jurídico del sector público. Actualmente hay un grupo trabajo creado para determinar con exactitud las medidas que deberán poner en marcha los sujetos obligados por el RDL.