Red Seguridad 094

red seguridad tercer trimestre 2021 23 servicios esenciales monográfico Gerardo Sarmiento Jefe de la Oficina de Ciberseguridad / CISO de ENAIRE Daniel Zapico Palacio Director de Seguridad de la Información de Air Europa “Uno de los grandes beneficios que aporta el ENS es su gran completitud y versatilidad” “La Directiva NIS y su trasposición en España han supuesto un paso de gigante en la regulación” ENAIRE, como primer operador crítico y de servicios esenciales reconocido con el Certificado de Conformidad con el Esquema Nacional de Seguridad (ENS) en Categoría Alta de sus sistemas operacionales involucrados en prestar servicios de navegación aérea, está muy sensibilizado y comprometido con la seguridad de la información y la ciberseguridad. En este sentido, a nuestro juicio, uno de los grandes bene- ficios que aporta el ENS es su gran completitud y versatilidad. El motivo es que contribuye a la plena satisfacción de toda la normativa nacional e internacional en la materia, tanto de pro- pósito general como específica de la aviación. Por todo ello, cualquier desarrollo normativo que esté alinea- do con ese espíritu de homogeneización y simplificación, uni- ficando bajo un paraguas común todos los requisitos exigibles y auditables, supone un importante beneficio para todos los implicados. De ese modo, desde la confianza y estabilidad que otorga un ecosistema normativo sincronizado y robusto se pue- den planificar e invertir de manera más optimizada y racional los recursos disponibles en la implementación real y efectiva de la seguridad, así como su necesaria monitorización y mejora continua. La actual Directiva NIS y su trasposición en España a través del Real Decreto 43/2021 han supuesto un paso de gigante en la regulación en materia de seguridad de la información. Pero, en mi opinión, hay espacio de mejora en tres áreas. Primero, en extender el alcance de aplicación más allá de servicios esen- ciales y servicios digitales; habida cuenta de que en torno al 97 por ciento de las empresas en España son pymes, y por tanto, salvo excepciones, no les aplica. Segundo, en unificar la Ley de Protección de Infraestructu- ras Críticas y la Directiva NIS en una única regulación. Parti- cularmente, en sectores en los que es complejo designar la infraestructura crítica sobre la que se sustenta el servicio esen- cial (servicios en cloud fuera de territorio español o europeo, activos móviles como aviones, trenes...). Y tercero, en la unificación de criterios y “ventanilla única” para notificar incidentes de ciberseguridad para todas las regu- laciones (Reglamento General de Protección de Datos, PSD2, normativas sectoriales, etc.). Así como en hacer efectivo el es- píritu de la notificación de colaboración y prevención de inci- dentes y no tanto de inicio de procesos sancionadores, que es lo que ocurre en la práctica ahora mismo.