Red Seguridad 103

red seguridad cuarto trimestre 2023 45 servicios esenciales monográfico Javier García Global CISO de Repsol Jesús Sánchez CISO de Naturgy "La Directiva NIS 2 constituirá uno de los marcos jurídicos más relevantes en ciberseguridad" "En España tenemos una historia exitosa en regulación de ciberseguridad" Una vez que esté transpuesta al ordenamiento jurídico nacio- nal, la Directiva NIS 2 constituirá uno de los marcos jurídicos más relevantes por el que nos guiaremos en ciberseguridad. Lo más relevante de ella es la elevación del nivel de exigencia de las responsabilidades, decisiones y reporte en esa materia en las compañías. Considero que esto es positivo y efectivo para incrementar los niveles de ciberseguridad y ciberresiliencia de las organizaciones. Aportará mayores niveles de visibilidad y compromiso para afrontar los retos relevantes que suponen la evolución de las amenazas y riesgos de ciberseguridad IT-OT. Mi deseo en su transposición es que se refuercen los aspec- tos que impactan de forma más directa en la elevación de los niveles de defensa: la gestión de riesgos de ciberseguridad a lo largo de la cadena de suministro, reforzando la seguridad des- de el diseño e incrementando la incorporación de tecnología cada vez más segura y menos vulnerable en origen. También me gustaría que las demandas de verificación y re- porte del estado de madurez de ciberseguridad corporativa se diseñen de la forma más efectiva y simplificada posible. Por últi- mo, que se promoviera una colaboración efectiva y accionable de todas las organizaciones que estamos involucradas en la ci- berdefensa de las actividades críticas recogidas en la Directiva. En España tenemos una historia exitosa en regulación de ci- berseguridad. Pero ahora, con la trasposición de la Directiva NIS 2 tenemos una oportunidad de oro para cubrir y completar aquellos temas que quizás no se hayan tratado con tanta pro- fundidad o se habían omitido en legislaciones anteriores en los servicios esenciales. Un aspecto muy relevante es el de la cadena de suministro. La implicación efectiva de todos sus intervinientes, proveedores tecnológicos e industriales en los compromisos de ciberseguri- dad redundará en una visión mucho más holística y completa de la ciberresiliencia. Todo ello, con esquemas de certificación aplicables a los operadores y exigibles a los intervinientes en la cadena de suministro basados en los más prestigiosos es- tándares de referencia internacionales, como la ISO 27001 o el marco NIST. Por otra parte, la trasposición debe servir para ordenar y opti- mizar los mecanismos de coordinación correspondientes entre autoridades competentes para garantizar a los sujetos obliga- dos por la regulación una interlocución y organismos de control claros, dado sobre todo el incremento de sectores económicos afectados por la Directiva y el reparto competencial entre las diferentes administraciones.