El Gobierno aprobó en enero el Reglamento de Seguridad de las Redes y Sistemas de la Información (Reglamento NIS), que desarrolla la ley sobre esta materia que afecta a operadores de servicios esenciales y proveedores de servicios digitales. Se trata de un avance normativo que aclara cuestiones como el marco institucional de ciberseguridad, la cooperación y coordinación, la gestión y notificación de ciberincidentes o la función de los responsables de seguridad de la información. En definitiva, dibuja un marco de gobernanza y gestión de la ciberseguridad en organizaciones clave para la sociedad.
Con el objetivo de analizar el impacto de la norma en las empresas afectadas por la norma, la Fundación Borredá reunió un elenco de expertos en la materia. Andrés Jesús Ruiz Vázquez, consejero técnico en la Unidad de Ciberseguridad y Desinformación del Departamento de Seguridad Nacional (DSN); Joan Puig, CISO de Banco Sabadell; Francisco Lázaro, vicesecretario de ISMS Forum y CISO de Renfe; y Félix de Andrés, Manager Risk Advisory de Cyber Deloitte participaron en una de las tertulias virtuales organizada por la Fundación Borredá. César Álvarez, coordinador de proyectos de esta última, condujo el encuentro.
Impacto inicial del Reglamento NIS
Todos ellos coincidieron en que el impacto inicial del Reglamento NIS en las organizaciones no debería ser complejo, más bien, el primer paso será revisar qué se ha hecho hasta el momento. “Lo primero que habrá que hacer es revisar qué se había avanzado ya con laLey NIS [Ley sobre Seguridad de las Redes y Sistemas de la Información], ver lo nuevo que se está haciendo con este reglamento y, a partir de ahí, empezar a trabajar en todos los puntos”, observó De Andrés.
Una opinión con la que coincidió Puig, de Banco Sabadell, quien también llamó la atención sobre otro aspecto: la necesidad de realizar una declaración de aplicabilidad de las medidas de seguridad de las empresas. “Es un nombre que confunde, porque ya habíamos hecho un formulario de aplicabilidad en el que explicábamos sobre qué sistemas de información pensábamos que nos afectaba la Ley NIS. Ahora utilizamos la misma palabra en otra dimensión, que es la de las medidas de seguridad”, expuso.
Para el representante de ISMS Forum, “la gran mayoría de las organizaciones ya tienen los deberes hechos, porque si provienen del Esquema Nacional de Seguridad (ENS), de infraestructuras críticas o de servicios esenciales, la gran mayoría de las cosas ya están asignadas, como la designación del responsable de seguridad de la información, la notificación de incidentes o incluso la declaración de aplicabilidad”. “El Reglamento lo que hace es particularizar algunos aspectos”, concluyó Lázaro.
En la misma línea argumental, el representante del DSN recordó que “España aprovechó la ocasión” cuando se traspuso la Directiva NIS “utilizando la normativa sobre protección de las infraestructuras críticas para ampliar los sectores que afectan a la norma europea”. “Esto ha conllevado que prácticamente todos los servicios esenciales identificados bajo el paraguas de la normativa NIS, a la vez sean operadores críticos”, explicó Ruiz Vázquez. Aun con ello, este profesional opinó que todavía quedan retos respecto a la norma, como, por ejemplo, “reforzar las estructuras actuales en relación con los centros de respuesta a incidentes de referencia y a las de autoridades competentes”.
El papel del CISO
Sin duda uno de los aspectos que despertó mayor interés en torno al Reglamento NIS era conocer si tendría en cuenta la figura de responsable de seguridad de la información (RSI). Finalmente, así ha ocurrido, pues era una reclamación constante por parte del sector de la ciberseguridad. “Cuando se recibieron los comentarios de la consulta pública del borrador del Reglamento NIS, todas las asociaciones hicieron hincapié en la importancia de incluir esta figura. Era prácticamente una obligación incluirlo y además hacerlo bien, con criterios técnicos y estratégicos. Porque la madurez de la ciberseguridad de una organización viene determinada muchas veces por el estatus del CISO, es decir, dónde está situada esa persona y a cuántos escalones de la alta dirección”, desarrolló el representante del DSN.
La decisión ha sido aplaudida, aunque existen diferentes puntos de vista a la hora de aclarar la responsabilidad de este profesional. “Vemos bien formalizar la figura del RSI, pero vemos más relevante establecer sus responsabilidades. Podemos discutir si encajan en primera o segunda línea del organigrama, pero responsabilidades hay muchas en relación con la tecnología dentro de la organización”, reflexionó Puig, de Banco Sabadell.
Lázaro sostuvo que “las responsabilidades recaen en la organización, que tienen que tener unas políticas de seguridad claras y aprobadas”. “Es más, en las funciones se dice que el RSI propone las medidas al órgano correspondiente de su aprobación, y por lo tanto hay una responsabilidad de los órganos de dirección de la compañía”, desarrolló.
Para el representante de ISMS Forum, “es muy importante que se haya definido esta figura” y considera “muy bueno” que la ley hable de la posición que debe tener cercada a los órganos de dirección. Aun así, también indicó la necesidad de dirimir exactamente qué quiere decir la norma cuando habla de la posición e independencia del RSI en las empresas.
De Andrés añadió que la propia Ley NIS “establece sanciones, pero para la organización”, lo cual muestra que la responsabilidad final recae en esta. “Creo que se ha hecho muy bien a la hora de signar las responsabilidades y, de hecho, hay un punto que dice que el RSI puede apoyarse en servicios de terceros, pero tiene que formar parte de la propia entidad, es decir, no puede externalizarse”.
Debilidades y ausencias
Pero si la designación del RSI es una de las cuestiones que han provocado más satisfacción, también existen diferentes controversias con el Reglamento NIS. Fundamentalmente porque no ha despejado todas las dudas del sector. En ese sentido se pronunció De Andrés, quien planteó interrogantes en torno a los proveedores de servicios digitales. Con esta norma “aún hay muchas empresas que tienen dudas sobre si son o no proveedores de servicios digitales; si bien es cierto que la Directiva NIS no deja mucho margen a los países, la duda sigue quedando”, expresó.
Por su parte, Lázaro, de ISMS Forum, puso el acento en la seguridad de los proveedores en general: “está bien que tengamos la obligación de gestionar los riesgos de terceros, pero echamos de menos que los proveedores tengan también unas obligaciones marcadas”. A lo cual añadió que hay grandes compañías que prestan servicios y productos, pero “no tienen detrás una figura que se preocupe por los requisitos de seguridad y sean elemento de interlocución en caso de incidente”.
Algo con lo que se mostró de acuerdo el representante de Banco Sabadell, que puso como ejemplo el Reglamento General de Protección de Datos, el cual “establece normas a las empresas, aunque haya algo que no esté recogido en un contrato”. Desde su punto de vista, la “norma podría haber tenido otra aproximación, estableciendo obligaciones directas sobre los proveedores”.
Ruiz Vázquez, del DSN, se mostró de acuerdo con el resto de invitados y apuntó que varias de las dudas existentes ahora podrían quedar resueltas en la revisión de la Directiva NIS que está llevando a cabo la Unión Europea en este momento. Por ejemplo, la futura norma comunitaria “obligará a tener esta política a nivel nacional respecto a los proveedores y a toda la cadena de suministro”.
Por otro lado, este profesional opinó que “el modelo necesita ir acompañado de información clara a los sujetos obligados y a las Administraciones. Es frecuente recibir preguntas de empresas que dudan si tienen que notificar un incidente o si son operador esencial. Falta información y cultura de seguridad”.
Finalmente, también planteó la necesidad de que exista una comunicación coordinada de vulnerabilidades. Ruiz Vázquez considera importante “establecer un marco de comunicación para comunicar la vulnerabilidades, obviamente con un repositorio custodiado”.
Archivado en:
