Red Seguridad 87

red seguridad cuarto trimestre 2019 55 de amenazas, en línea con la anterior estrategia. Ambos documentos son una base muy recomendable para fijar las líneas esenciales de cualquier empresa y a, partir de ahí, desarrollar objetivos concretos. Dentro de los propósitos de la Organización de Aviación Civil Internacional (OACI) está garantizar y fomentar la seguridad. Lo hace mediante la incorporación de normas internacionales y métodos recomen- dados en los anexos del Convenio sobre Aviación Civil Internacional (aprobado el 7 de diciembre de 1944). No en vano, en abril de 2017 modificó el Anexo 17 (Seguridad de la Aviación) de dicho convenio para incluir la ciberseguridad. Nuevo reglamento Con el fin de adaptar la modificación del Anexo 17 a los Estados miem- bros de la Unión Europea, de mane- ra que se estableciera una norma común para todos los involucrados en la ciberseguridad del transporte aéreo, se modificó el Reglamento de Ejecución (UE) 2015/1998 de normas básicas comunes de seguridad aérea en septiembre de 2019. Entrará en vigor el 31 de diciembre de 2020 y será directamente aplicable y obliga- torio en todos los Estados miembros. Este reglamento está alineado con la Directiva NIS para evitar lagunas y duplicidad de obligaciones. Establece las medidas de seguridad de los sistemas críticos de tecnología de la información y las comunicaciones, así como los datos críticos frente a ciberataques que pudieran afectar a la seguridad de la aviación civil frente a actos de interferencia ilícita. Este reglamento establece que las personas con funciones y responsa- bilidades relacionadas con las cibe- ramenazas deberán tener las capa- cidades y aptitudes necesarias para llevar a cabo sus tareas, así como contar con una formación laboral adecuada y específica, acorde con sus funciones y responsabilidades. Estos requisitos, además de estar alineados con la Directiva NIS, son más específicos y denotan iniciativas más maduras en comparación con la propuesta del reglamento que desa- rrolla la Directiva NIS. Desde mi punto vista, son requisitos obvios, aunque desde algunos sectores no se com- parten y se defiende que la responsa- bilidad no tiene por qué recaer sobre los profesionales de seguridad de la información. También incluye la obligación de que las personas con funciones y responsabilidades en los sistemas críticos de tecnología de la informa- ción y las comunicaciones y los datos críticos superen una verificación de antecedentes. En nuestro sector, lo más destaca- ble es el Plan Europeo de Seguridad Aérea (EPAS 2019-2023), que desa- rrolla distintas iniciativas abordando la seguridad de la información desde dos puntos de vista: frente a actos de interferencia ilícita (conocida común- mente como Security ) y desde la seguridad en la operación aeropor- tuaria (conocida como Safety ). Alinear PIC y NIS Tras el cambio de denominación en 2017 del CNPIC, que ha pasado a lla- marse Centro Nacional de Protección de Infraestructuras y Ciberseguridad, ahora queda esperar la modificación de la Ley 8/2011 sobre Protección de las Infraestructuras Críticas (Ley PIC) para adaptarse a esta nueva realidad. Tanto a nivel europeo como nacional hay un gran esfuerzo por alinear la aplicación de la Ley PIC con la Directiva NIS y, ahora también, con la legislación específica de seguridad aérea. Esto denota una fuerte coordi- nación que es aplaudida por empre- sas y gestores, y en la que la principal beneficiaria es la seguridad. El Plan Europeo de Seguridad Aérea desarrolla distintas iniciativas abordando la seguridad de la información desde dos puntos de vista: el de Safety y el de Security. servicios esenciales monográfico La modificación del Reglamento europeo de Ejecución 2015/1998 de normas básicas de seguridad aérea, que entra en vigor en diciembre de 2020, establece medidas de ciberseguridad de sistemas y datos críticos