1 11 Table of Contents 13 116

Red Seguridad 092

12 red seguridad primer trimestre 2021 Reglamento NIS: un avance con dudas que despejar evento fundación borredá E l Gobierno aprobó el 26 de enero el Reglamento de Seguridad de las Redes y Sistemas de la Infor- mación (Reglamento NIS), que desarro- lla la ley sobre esta materia que afecta a operadores de servicios esenciales y proveedores de servicios digitales. Se trata de un avance normativo que acla- ra cuestiones como el marco institucio- nal de ciberseguridad, la cooperación y coordinación, la gestión y notificación de ciberincidentes o la función de los responsables de seguridad de la infor- mación. En definitiva, dibuja un marco de gobernanza y gestión de la ciberse- guridad en organizaciones clave para la sociedad. Con el objetivo de analizar el im- pacto de la norma en las empresas afectadas por la norma, la Fundación Borredá reunió un elenco de expertos en la materia. Andrés Jesús Ruiz Váz- quez , consejero técnico en la Unidad de Ciberseguridad y Desinformación del Departamento de Seguridad Nacio- nal (DSN); Joan Puig , CISO de Banco Sabadell; Francisco Lázaro , vicesecre- tario de ISMS Forum y CISO de Renfe; y Félix de Andrés , Manager de Risk Ad- visory de Deloitte España, participaron en una de las tertulias virtuales organi- zada por la Fundación Borredá. César Álvarez , coordinador de proyectos de esta última, condujo el encuentro. Todos ellos coincidieron en que el im- pacto inicial del Reglamento NIS en las organizaciones no debería ser comple- jo, más bien, el primer paso será revisar qué se ha hecho hasta el momento. “Lo primero que habrá que hacer es revisar qué se había avanzado ya con la Ley NIS [Ley sobre Seguridad de las Redes y Sistemas de la Información], ver lo nuevo que se está haciendo con este reglamento y, a partir de ahí, empezar a trabajar en todos los puntos”, observó De Andrés. Una opinión con la que coincidió Puig, de Banco Sabadell, quien también llamó la atención sobre otro aspecto: la necesidad de realizar una declaración de aplicabilidad de las medidas de se- guridad de las empresas. “Es un nom- bre que confunde, porque ya habíamos hecho un formulario de aplicabilidad en el que explicábamos sobre qué sis- temas de información pensábamos que nos afectaba la Ley NIS. Ahora utiliza- mos la misma palabra en otra dimen- sión, que es la de las medidas de segu- ridad”, expuso. Para el representante de ISMS Forum, “la gran mayoría de las organizaciones ya tienen los deberes hechos, porque si provienen del Esquema Nacional de Se- guridad (ENS), de infraestructuras críti- cas o de servicios esenciales, la gran mayoría de las cosas ya están asigna- das, como la designación del responsa- ble de seguridad de la información, la notificación de incidentes o incluso la declaración de aplicabilidad”. “Lo que hace el Reglamento es particularizar al- gunos aspectos”, concluyó Lázaro. Por Enrique González Herrero

RkJQdWJsaXNoZXIy ODM4MTc1