Red Seguridad 87

54 red seguridad cuarto trimestre 2019 opinión servicios esenciales monográfico Evolucióndelaseguridaddelainformación en las infraestructuras aeroportuarias Q uedan atrás los años en que el subsector del transporte aéreo fue incluido en la segunda fase de implan- tación del Sistema PIC y se designa- ron los operadores e infraestructuras críticas. Después llegó la constitución de la Mesa de Coordinación para la Protección de las Infraestructuras Críticas (PIC), en la cual se inclu- yó a un Responsable de Seguridad y Enlace (RSE) como representante del subsector estratégico del trans- porte aéreo. Además, la Secretaría de Estado de Seguridad consti- tuyó la Mesa de Coordinación de Ciberseguridad con el fin de tener un punto de contacto con los jefes de seguridad de la información de los operadores críticos, inicialmente llamados CISO y en estos momentos designados con las siglas RSI (que corresponden a Responsables de Seguridad de la Información). Esta última iniciativa ha sido de gran importancia y marca una buena base para los cambios que se han ido produciendo, ya que, además de la finalidad para la que se formó, tiene un segundo carácter como foro para compartir conocimiento entre el Centro Nacional de Protección de Infraestructuras y Ciberseguridad (CNPIC), la Oficina de Coordinación Cibernética (OCC), las Fuerzas y Cuerpos de Seguridad del Estado y los CSIRT ( Computer Security Incident Response Team ) de refe- rencia para las empresas públicas y privadas. Desde entonces hemos visto una evolución de la seguridad de la infor- mación y de su visibilidad, tanto en relación con el ciudadano como con las empresas. Destaca por simple e impactante el creciente número de incidentes gestionados por los CSIRT de referencia, lo cual no podría ser de otra manera dado el incremento de capacidades de todos los actores de este complejo escenario. Normativa y estrategias En 2018 se publicó el Real Decreto- Ley 12/2018 de Seguridad de las Redes y Sistemas de Información, que incluía como principales novedades las sanciones económicas y la obli- gada designación de un Responsable de Seguridad de la Información en los operadores de servicios esenciales. Las sanciones pueden llegar hasta un millón de euros por la comisión de infracciones muy graves. Este real decreto-ley es la transposición al ordenamiento jurídico español de la Directiva 2016/1148 del Parlamento Europeo, conocida como Directiva NIS. En el sector del transporte aéreo ya éramos conocedores de las futuras designaciones de operadores de ser- vicios esenciales, ya que la Directiva NIS definía a estos últimos como una entidad, pública o privada, corres- pondiente con uno de los tipos que figuran en el anexo II de la norma. A grandes rasgos, el apartado referido al transporte aéreo de dicho anexo definía los siguientes tipos de entida- des: compañías aéreas, aeropuertos y entidades gestoras de sus insta- laciones, así como operadores de control de la gestión del tráfico aéreo. El siguiente paso es la publica- ción del reglamento que desarrolla la Directiva NIS, una vez finalizado en septiembre de este año el trámite de audiencia y de información. El Consejo de Seguridad Nacional aprobó en abril de este año la nueva EstrategiaNacional deCiberseguridad. Pero más importante para el sec- tor que nos ocupa es la Estrategia de Seguridad Aeroespacial Nacional, también de abril de 2019, que incluye las ciberamenazas como la sexta área Cándido Arregui CISO de Aena