Red Seguridad 87

especial red seguridad cuarto trimestre 2019 47 servicios esenciales monográfico entrevista los Estados miembros. En ese sen- tido, se trata de facilitar la armoniza- ción de la normativa en toda Europa. ¿Cuál es su percepción del estado actual de las infraestructuras críti- cas europeas? Cada vez vamos a mejor. La mayoría de empresas, de algunos sectores en concreto, son conscientes de la situación del problema. Han empeza- do a invertir recursos y a desarrollar una estructura interna, y cuentan con procedimientos y políticas. Por ejem- plo, han situado a un CISO, tienen gobierno, continuidad de negocio, participan en ejercicios, tienen políti- cas, controles, auditorías regulares, aplican estándares… Por tanto, están haciendo las cosas cada vez mejor y estamos satisfechos por ello. Aunque hay que decir también que esto no es así en todos los sectores. Algunos todavía están retrasados y necesita- mos trabajar en ellos. No obstante, existen nuevas ten- dencias tecnologías emergentes, como Internet de las Cosas, 5G o Inteligencia Artificial, que las compa- ñías utilizarán para ofrecer mejores servicios, lo que significa que tendre- mos que volver y colaborar con todos esos jugadores para comprobar el estado del arte sobre estos asuntos. ¿Cuáles son los sectores que están en peor situación en cuanto a protección de sus infraestructu- ras críticas? No diría tanto que están en peor situación, sino que algunos de ellos no tienen tanta dependencia de las tecnologías de la información como otros y ahora tienen que invertir mucho porque han de tener en con- sideración la ciberseguridad. Desde nuestro punto de vista, sectores como el ferroviario, el del agua, el marítimo o el sanitario pue- den hacer más o podrían ir mejor. Trabajamos con todos ellos para avanzar y estamos orgullosos de lo mucho que hemos conseguido. ¿Cuáles son los principales desa- fíos que afrontarán las infraestruc- turas críticas en el futuro? El mayor desafío será desarrollar un enfoque holístico de la ciberseguri- dad. Porque vemos en este momento a muchas empresas trabajando en seguridad, en tecnologías de la infor- mación y en ciberseguridad, pero no están llevando a cabo una adecuada integración. Vemos que hay muchas diferencias entre tecnologías de la información y de la operación, por lo que tienen que considerar la segu- ridad de estos sistemas de manera holística. También tienen que inver- tir más en políticas, procedimientos, estructuras y gobernanza. En cuanto al sector público, el prin- cipal reto es trabajar mejor con estas compañías para desarrollar confianza y ayudarles a mejorar en su seguridad sin que necesariamente haya que regular. La Directiva NIS proporcionará una mejora en la ciberseguridad en estos entornos. ¿Cuál es el nivel actual de implementación de esta directiva entre los diferentes Estados Miembros? Creo que más o menos todos los países han implementado la directi- va. Algunos de ellos cuentan con lo básico de acuerdo con las disposicio- nes de la norma, mientras que otros han avanzado un poco más, han lanzado más iniciativas y han imple- mentado provisiones adicionales. Pero como decía, existen diferencias entre Estados porque algunos tienen experiencia de más de dos déca- das trabajando en ciberseguridad y cuentan con sus propias estrategias. De hecho, algunos de ellos ya había implementado las disposiciones que establece la Directiva NIS antes inclu- so de que se aprobara. Es una experiencia de aprendizaje. Algunos, pocos, países estaban reza- gados, pero ahora con la Directiva NIS se han tenido que poner al día. En nuestra opinión, todos los Estados miembros han alcanzado un nivel esencial, lo cual es realmente bueno y estamos muy satisfechos por ello. Sin embargo, ¿qué aspectos cree que aún deben mejorar? En mi opinión, el gran reto para la mayoría de países es implementar las disposiciones horizontales de la Directiva. Tienen que coger lo que es horizontal e intentar implementarlo en el entorno sectorial, trabajar con las partes interesadas y asegurarse de que lo que introducen sea coherente con los procedimientos de las leyes del sector en cuestión. Para mí esto es lo más complicado y llevará algunos años. No obstan- te, ENISA está enfocando muchos esfuerzos en esta cuestión. ¿Cuál es la situación de la red euro- pea de centros de respuesta a inci- dentes de seguridad informática? Este es uno de los grandes logros de la Directiva NIS. La red se ha desarro- llado bastante bien y ahora los países están realmente comprometidos y se ayudan mutuamente. La confianza en la red está creciendo y cada vez hay más colaboración. No en vano, ya hemos hecho frente a un par de crisis, las de WannaCry y NonPetya. Aun así, la red se encuentra todavía en sus comienzos, por lo que es difícil evaluarla en ese momento, aunque creemos que mejoraremos. Si surge una crisis como las que he mencio- nado, comprobaremos la idoneidad y la relevancia de esta red, aunque "Las interdependencias entre las infraestructuras de los países es un asunto abierto que habrá que abordar"