La ley impone la figura directiva del Responsable de Seguridad de la Información, entre otras novedades.
El 28 de enero pasado se publicó en el BOE el RD 43/2021, por el que se desarrolla la llamada «Ley NIS» de seguridad de las redes y sistemas de información cuya aplicación va a tener un alto impacto en las organizaciones y las empresas afectadas. Para explicar la importancia de la nueva normativa, ISACA Madrid y aesYc, celebraron un webinar con la presencia de 1600 inscriptos y la colaboración de Derecho de la Red, la ASCOM (Asociación Española de Compliance), el Arco Atlántico de Ciberseguridad en el Entorno Digital (ACED), CyberMadrid, ENATIC (Abogacía Digital), el apoyo institucional del Centro Criptológico Nacional (CCN) y de la Fiscalía de la Sala de Criminología Informática.
La gran expectativa se debe a que esta norma supone un antes y un después en el marco regulador de la ciberseguridad. Entre otras novedades introduce la exigencia de la creación de la figura del Responsable de Seguridad de la Información (RSI) con responsabilidad legal ante la autoridad reguladora. Su entrada en vigor impone adaptar y preparar a las empresas al nuevo marco normativo ya que, en caso contrario, se podrían derivar responsabilidades.
Vicente Moret, colaborador habitual de las instituciones organizadoras, como Letrado de las Cortes Generales y Of Counsel de Andersen, se encargó de diseccionar las novedades que presenta la nueva regulación «que en materia de ciberseguridad ha venido para quedarse» y describió la jornada como la ideal ya que cada vez es más necesaria «crear cultura de la ciberseguridad».
La norma establece la obligatoriedad de tener una política de seguridad, una política de gestión de terceros suministradores para controlar el riesgo, de contar con planes de recuperación, la obligación de comunicar incidentes y la declaración de aplicabilidad, (que indica a qué se compromete frente a la administración).
CISO y poderes de la administración
El RD también establece el Esquema de Seguridad Nacional como punto de partida para cumplir la ley, muestra convergencia entre la regulación de datos y de ciberseguridad, así como el estatuto del CISO, que se convierte en una especie de superhombre, que debe tener múltiples capacidades y responsabilidades añadidas.
Entre sus funciones se le atribuyen la de proponer las políticas de seguridad, gestionar normas y riesgos, desarrollar y aplicar esas políticas, remitir información a la Administración, ser capacitador dentro de la organización y ser quien asume la responsabilidad y el compromiso. «Puede ser una persona o un grupo, aunque debe siempre figurar una persona física. Se le exigen muchos conocimientos especializados organizativos, técnicos y jurídicos. Así, se le coloca muy alto en la escala dentro de la empresa u organización, independiente del área de Sistemas y con capacidad para hacer auditorías», explico Moret.
La Administración también cuenta a partir de esta regulación de un marco para sancionar, y describe cuáles son su competencias antes las organizaciones afectadas, como obligar a que se realice una auditoría externa. Para Moret «ahora es el momento de poner la ciberseguridad en el lugar que le corresponde, pues toda empresa tiene la obligación de implementar políticas y automatizar la gestión de riesgos».
Para diseccionar la enorme relevancia del Real Decreto aprobados, Julio San José, de Derecho en la Red, presentó un debate en el que participaron Alejandro Becerra, CISO de Telefónica, Alonso Hurtado, Socio IT&Compliance de ECIJA y Vicepresidente de ASCOM, Elena Matilla, CISO de Red Eléctrica y Presidenta de ACED y Francisco Pérez Bes, Partner of Digital Law en Ecix Group y Vicepresidente de ENATIC, quienes valoraron los diferentes aspectos que se regulaban legislativamente.
Impacto de la norma
Los participantes coincidieron que esta regulación impactaría en todas las empresas, dependiendo del nivel de madurez de las mismas en materia de ciberseguridad, que supondría una aceleración de la implantación, una apertura de un abanico de servicios de empresas, además de en la Administración Pública, y una segura subida de salario de los CISOS.
Quiénes estarán afectados
Aludieron al listado de operadores de infraestructuras críticas, que por razones de seguridad no se hace pública, operadores de servicios esenciales y proveedores de servicios digitales. También las pequeñas y medianas empresas, porque necesitan hacer frente a riesgos de ciberseguridad que les afectan, como el ramsomwere, o porque son terceros proveedores.
Servicios esenciales
Mercados en línea, motores de búsqueda, etc, se verán equiparados con los servicios críticos y esenciales, porque se han igualado en importancia, atendiendo al riesgo que supone ya la gran dependencia tecnológica de toda la sociedad. Nuestro día a día se puede ver afectado por riesgos importantes, incluso económicos, para todo el país.
En España están notificados a la UE 132 proveedores esenciales y 55 servicios esenciales definidos. En Finlandia cuentan con un listado de 100.000 organizaciones afectadas por la legislación, puesto que han incluido a todos los servicios de salud. «Aquí nos hace falta cultura en ese sentido. Hay más de 90.000 pymes en España que no tienen obligación legal, pero les afecta una cuestión de concienciación, ya que las amenazas se materializan todos los días.
Responsable de la Seguridad de la Información ¿debe ser un perfil técnico? ¿una sola persona o un departamento?
La ley ya establece cuáles son sus habilidades y parece que debe ser un perfil relativamente alejado de la tecnología, pero que sepa establecer y gestionar los controles que se deben aplicar. No tiene por qué ser un experto en análisis de vulnerabilidades, pero debe tener conocimientos mínimos de ciberseguridad.
El perfil idóneo será alguien que esté certificado en los procesos de su propia empresa, porque si no no podrá protegerla, y tener capacidad de interlocución ejecutiva. En organizaciones grandes tendrá que ser un equipo, que tenga una visión de 360º. La Ley exige un responsable que firma todo, tiene la última palabra y sus decisiones pueden tener consecuencias legales, porque es el último responsable ante un incidente.
El RD contemplan las labores de apoyo del RSI y la posibilidad de externalizar el servicio.
Seguros de ciberseguridad
Hay empresas de seguros que se están retirando del negocio de la ciberseguridad, otras suben la prima y otras aumentan las exigencias para establecer la póliza, ante los ataques que se están produciendo y el menor margen de negocio que les queda.
Certificaciones
Son un fabuloso medio para mitigar o eludir cualquier responsabilidad, y en este sentido ISACA es un gran expedidor de certificaciones reconocidas internacionalmente. La administración no va a tratar igual a una empresa que se haya preocupado de estar certificada que la que no, porque supone una puesta en forma. La empresa tiene que acreditar la diligencia debida. Las certificaciones no te evitan la responsabilidad pero ayudan a demostrar conocimiento y experiencia acreditados por un tercero.
El Real Decreto ha creado ya un marco de autoridades competentes, que es el siguiente:
Los operadores críticos, que deben comunicar al Ministerio del Interior. Los operadores esenciales no críticos deben comunicar a las autoridades ministeriales que aparecen en el listado del Artículo 2 del RD. Los prestadores de servicios digitales deben comunicar al Ministerio de Economía a través de la Secretaría de Estado.
Pymes
No están afectadas por el RD. Se verán obligadas a aplicar la ley si son terceros y proveedores de las empresas afectadas. Se está batallando en Europa por su inclusión dentro de la directiva NIS, en el caso de los proveedores de Software y Hardware.