El Reglamento de Seguridad de las Redes y Sistemas de la Información (Reglamento NIS), publicado el 28 de enero, pone en valor la función del responsable de Seguridad de la Información (CISO) dentro del organigrama de las organizaciones. En concreto, el artículo 7 insta a que esta figura mantenga «una comunicación real y efectiva con la alta dirección». Además, señala que su posición debe «facilitar el desarrollo de sus funciones, participando de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la seguridad».
No en vano, este artículo obliga a los operadores de servicios esenciales a designar un responsable de la Seguridad de la Información. Esta figura, ya sea una persona, unidad u órgano colegiado, ejercerá de punto de contacto y coordinación técnica con la autoridad competente y el CSIRT de referencia.
Funciones
El Reglamento NIS también pone de manifiesto las funciones del CISO. Entre ellas se encuentran elaborar las políticas de seguridad y proponerlas para su aprobación por la organización. Según el documento, estas políticas han de incluir las medidas técnicas y organizativas para gestionar los riesgos que se planteen para la seguridad de las redes y sistemas de información utilizados. Igualmente, deben prevenir y reducir al mínimo los efectos de los ciberincidentes que afecten a la organización y sus servicios.
En este sentido, el CISO tendrá que supervisar y desarrollar la aplicación de las políticas de seguridad, normativas y procedimientos derivados de la organización. Así como supervisar su efectividad y llevar a cabo controles periódicos de seguridad. También deberá elaborar el documento de Declaración de Aplicabilidad de medidas de seguridad.
Notificación de incidentes
El Reglamento NIS también establece, entre las funciones del responsable de la Seguridad de la Información, la notificación de aquellos incidentes referidos en el artículo 19.1 del Real Decreto-ley 12/2018 a las autoridades competentes a través del CSIRT de referencia. Esta notificación habrá de llevarse a cabo «sin dilación indebida».
Asimismo, deberá suministrar información a la autoridad competente o el CSIRT de referencia. Ya sea por previa solicitud o por propia iniciativa.
Requisitos según el Reglamento NIS
El Reglamento NIS establece, por otro lado, que el responsable de la Seguridad de la Información ha de cumplir con una serie requisitos. Entre ellos se encuentran contar con conocimientos especializados y experiencia en materia de ciberseguridad y con los recursos necesarios para desarrollar sus funciones.
Además, tal y como se ha destacado anteriormente, el CISO deberá ostentar una posición en la organización que facilite el desarrollo de sus funciones. Esta situación le permitirá participar «de forma adecuada y en tiempo oportuno» en todas las cuestiones relativas a la seguridad. Así como mantener una comunicación real y efectiva con la alta dirección.
Los operadores de servicios esenciales serán quienes garanticen que sus CISO cumplan con estos requisitos.
Por último, cabe destacar que estas funciones, siempre que sea posible, se podrán compatibilizar con las señaladas para el responsable de Seguridad y Enlace y el responsable de Seguridad del Esquema Nacional de Seguridad de conformidad con lo dispuesto en la normativa aplicable a estas figuras.
Archivado en:
