Red Seguridad 094

24 red seguridad tercer trimestre 2021 monográfico servicios esenciales Juan Atanasio Carrasco Responsable de Ciberseguridad de Centrales Nucleares Almaraz-Trillo Gersán Murcia Suárez Director de Transformación Digital y Seguridad de la Información de Canaragua “Se debería evitar una sobrerregulación en las nuevas directivas y su transposición” “Los fondos europeos deben acelerar la ciberseguridad en los prestadores de servicios públicos” Considerando la regulación vigente y el esfuerzo que los opera- dores esenciales han realizado y están realizando para cumplir- la, en las nuevas directivas y su transposición se deberían llevar a cabo varias cosas. La primera de ellas es valorar adecuada- mente las medidas que obligatoriamente han tenido que tomar ya los operadores esenciales para proteger los servicios que prestan (con una adecuada defensa en profundidad y diversi- dad). La guía de medidas mínimas para operadores esenciales liderada por la Oficina de Coordinación de Ciberseguridad e ISMS Forum en 2021 puede facilitar esta valoración. Además, se tendría que evitar una sobrerregulación, facili- tando una definición común de requisitos para los diferentes reguladores o autoridades competentes. Así como mirar a los países que dispongan de más experiencia práctica en la de- fensa de servicios esenciales, fomentando relaciones de con- fianza y cooperación para lograr una mejor defensa ante los ciberataques más potentes. Por último, se deberían definir unos hitos que faciliten la adopción temprana de las medidas más importantes que se pueda exigir tanto desde la regulación actual como de sus po- sibles mejoras progresivas. En definitiva, España tendría que poner en valor durante el desarrollo de las nuevas normativas los pasos ya dados en las directivas previas, como la Ley de Protección de Infraestructu- ras Críticas o la Directiva NIS. Canaragua siempre se ha posicionado en favor de marcos re- gulatorios claros que avancen y faciliten la gobernanza; espe- cialmente en un sector como el nuestro, el ciclo integral del agua, de carácter esencial para los ciudadanos. Por eso cree- mos que los avances deben facilitar una mayor colaboración público-privada. Cuestión que consideramos absolutamente imprescindible para que la evolución entre la Directiva NIS y NIS2 sea lo más consensuada posible dentro de la lógica y co- herencia que este tipo de normas precisa. La legislación tendría que ayudar a los distintos sectores a orientarnos en el uso de los recursos; más ahora con la proximi- dad de los Fondos del Next Generation Plan, que deben servir como aceleradores de la ciberseguridad en los prestadores de servicios públicos. En este sentido, la normativa debería fijar qué certificaciones o sistemas deben ser de obligado cumpli- miento para que las ofertas formuladas por los licitadores en contratos públicos ofrezcan la debida garantía de seguridad a las administraciones y ciudadanos que reciben los servicios. Resulta claro que estos sistemas deben ir, además, acom- pañados no solo de la disponibilidad de planes de protección específicos, sino también de otras acciones que permitan in- crementar los niveles de protección. Por último, la norma también tendría que atender al eslabón más débil, las personas, exigiendo la ejecución de campañas de concienciación las prestadoras de servicios.