redseguridad 082

editorial Un refuerzo para todos E spaña acaba de adaptar su ordenamiento jurídico a la directiva europea sobre seguridad de las redes y sistemas de la información, la Directiva NIS, con la aprobación, el 7 de septiembre, de un real decreto-ley sobre la materia. La medida ha llegado una vez supe- rado el plazo concedido por la Comisión Europea para su trasposición a las legislaciones nacionales, con la consiguiente apertura de un procedimiento de infrac- ción. El proyecto de esta norma ya estaba pergeñado desde hacía tiempo por parte de las instituciones y organismos implicados, pero parece que, como otros, acaba enquistado debido a la situación política. La norma ha salido adelante después de todo, pero el debate sobre ella no ha terminado, como pusieron de manifiesto los diputados de los principales partidos políticos en la jornada CiberTodos de ISACA Madrid. Pero al margen de las posiciones de nuestros diri- gentes, la "Ley NIS" supone un impulso a la segu- ridad de la información nacional. Tanto para las empresas sujetas a ella, los operadores de servicios esenciales y proveedores de servicios digitales, como para el Estado y la sociedad en su conjunto, que se beneficiarán de contar con organizaciones más pro- tegidas en la Red. Especialmente las infraestructuras críticas, que ya tienen una referencia en la normativa específica sobre estos entornos, si bien se verán beneficiadas por el refuerzo que supone esta nueva norma a la hora de implantar medidas de seguridad. La Ley NIS sigue los pasos que se han dado hasta la fecha en cuestión de regulación sobre protección de infraestructuras críticas en muchos sentidos. Eso no huelga para mencionar que precisamente esto abre la vía a posibles modificaciones de la Ley PIC, que fue concebida para construir y ordenar el Sistema de Protección de Infraestructuras Críticas obviando aspectos como el régimen sancionados. En ese sentido, la filosofía de una norma y otra son diferentes hasta el momento, pero deben acabar con- vergiendo para engranar a la perfección y no generar ambigüedad entre ambas. Volviendo a la Ley NIS, destaca no solo que obliga a contar con unas medidas de seguridad sino tam- bién el establecimiento de un sistema de notificación de incidentes, así como un marco de colaboración entre instituciones y el sector privado. La designación de autoridades y la necesidad de comunicar los ata- ques sufridos añade complejidad a la tarea de las organizaciones, pero servirá para conocer cómo reforzar las defensas tanto de esas empresas como del propio Estado. Las compañías son, al fin de al cabo, las que poseen la información más valiosa sobre ese espacio llamado Internet y compartirla con las autoridades permitirá mejorar la prevención y la respuesta en ataques masivos como WannaCry o Petya. Será importante, no obstante, crear un marco de confianza para que las empresas se sientan cómo- das con este proceso de notificación y estén seguras de que sus datos sensibles son confidenciales. La Ley NIS recoge que así será, al asegurar la confidenciali- dad de los datos que se notifiquen, pero no especifica cómo lo hará. Probablemente el Reglamento de desarrollo aclare las dudas. Aquí entraría también conocer si la regu- lación NIS supondrá un impulso realmente para la figura del CISO , pues la norma señala l a obligación de nombrar a "la persona, unidad u órgano colegiado res- ponsable de la seguridad de la información, como punto de contacto y de coordinación técnica con a la autoridad competente"; pero no concreta mucho más, ni atribuye aspectos que apunten inequívocamente a este profesio- nal como protagonista de este precepto. Sería importan- te, pues, aclarar sin ambages este asunto y no generar disensiones con otras figuras profesionales, sobre todo para saber si realmente esta disposición tendrá calado para este profesional o si, en realidad, todo va a seguir como hasta ahora. La "Ley NIS" supone un impulso a la seguridad de la información, pero no todo está claro, como el lugar que realmente atribuye al CISO red seguridad tercer trimestre 2018 3