El pasado día 28 de enero se publicó en el BOE el RD 43/2021, por el que se desarrolla la llamada “Ley NIS” de seguridad de las redes y sistemas de información cuya aplicación va a tener un alto impacto en las organizaciones y las empresas afectadas. Para explicar la importancia de la nueva normativa, ISACA Madrid y aesYc, celebraron un webinar con la presencia de 1600 inscriptos y la colaboración de Derecho de la Red, la ASCOM (Asociación Española de Compliance), el Arco Atlántico de Ciberseguridad en el Entorno Digital (ACED), CyberMadrid, ENATIC (Abogacía Digital), el apoyo institucional del Centro Criptológico Nacional (CCN) y de la Fiscalía de la Sala de Criminología Informática.
La gran expectación se debe a que esta norma supone un antes y un después en el marco regulador de la ciberseguridad. Entre otras novedades introduce la exigencia de la creación de la figura del Responsable de Seguridad de la Información (RSI) con responsabilidad legal ante la autoridad reguladora. Su entrada en vigor impone adaptar y preparar a las empresas al nuevo marco normativo ya que, en caso contrario, se podrían derivar responsabilidades.
Vicente Moret, colaborador habitual de las instituciones organizadoras, como Letrado de las Cortes Generales y Of Counsel de Andersen, se encargó de diseccionar las novedades que presenta la nueva regulación “que en materia de ciberseguridad ha venido para quedarse” y describió la jornada como la ideal “crear cultura de la ciberseguridad”, cada vez más necesaria.
Vicente destacó los aspectos centrales del nuevo Real Decreto, que prolonga la transposición de la Directiva NIS 12/2018, por lo que hay que interpretar conjuntamente ambas normas. Para Moret, “se afianza la tendencia de la regulación de la ciberseguridad y el ciberespacio. El RD abarca el marco institucional, la regulación de la ciberseguridad por parte de la Administración, la gestión de los incidentes, la gobernanza de la información cíber de las empresas, con su imprescindible Responsable de la Seguridad de la Información (CISO)” y afecta de mayor a menor a los operadores de servicios esenciales críticos, los no críticos y los de servicios digitales, “con diferentes modelos de obligación según qué empresa seas”.
Así, destacó que hay un cuadro de implicados entre empresas que gestionan agua, energía, financieras, administraciones públicas, alimentación y salud, que nos son críticos y están incluidos en la norma. Otra categoría son los operadores implicados en Defensa Nacional, con obligaciones específicas de obligación legal. La norma establece la obligatoriedad de tener una política de seguridad, una política de gestión de terceros suministradores para controlar el riesgo, de contar con planes de recuperación, la obligación de comunicar incidentes y la declaración de aplicabilidad, (que indica a qué se compromete frente a la administración).
CISO y poderes de la administración
El RD también establece el Esquema de Seguridad Nacional como punto de partida para cumplir la ley, muestra convergencia entre la regulación de datos y de ciberseguridad, así como el estatuto del CISO, que se convierte en una especie de superhombre, que debe tener múltiples capacidades y responsabilidades añadidas.
Entre sus funciones se le atribuyen la de proponer las políticas de seguridad, gestionar normas y riesgos, desarrollar y aplicar esas políticas, remitir información a la Administración, ser capacitador dentro de la organización y ser quien asume la responsabilidad y el compromiso. “Puede ser una persona o un grupo, aunque debe siempre figurar una persona física. Se le exigen muchos conocimientos especializados organizativos, técnicos y jurídicos. Así, se le coloca muy alto en la escala dentro de la empresa u organización, independiente del área de Sistemas y con capacidad para hacer auditorías”, explico Monet.
La Administración también cuenta a partir de esta regulación de un marco para sancionar, y describe cuáles son su competencias antes las organizaciones afectadas, como obligar a que se realice una auditoría externa. Para Moret “ahora es el momento poner la ciberseguridad en el lugar que le corresponde, pues
toda empresa la obligación de implementar unas políticas y que automatizar la gestión de riesgos”.
Para diseccionar la enorme relevancia del Real Decreto aprobados, Julio San José, de Derecho en la Red, presentó un debate en el que participaron Alejandro Becerra, CISO de Telefónica, Alonso Hurtado, Socio IT&Compliance de ECIJA y Vicepresidente de ASCOM, Elena Matilla, CISO de Red Eléctrica y Presidenta de ACED y Francisco Pérez Bes, Partner of Digital Law en Ecix Group y Vicepresidente de ENATIC, quienes valoraron los diferentes aspectos que se regulaban legislativamente.
• Impacto de la norma
Los participantes coincidieron esta regulación impactaría en todas las empresas, dependiendo del nivel de madurez de las mismas en materia de ciberseguridad, que supondría una aceleracíón de la implantación, una apertura de un abanico de servicios de empresas, además de en la Administración Pública, y una segura subida de salario de los CISOS.
• Quiénes estarán afectados
Aludieron al listado de operadores de infraestructuras críticas, que por razones de seguridad no se hace pública, operadores de servicios esenciales y proveedores de servicios digitales. También las pequeñas y medianas empresas, porque necesitan hacer frente a riesgos de ciberseguridad que les afectan, como el ramsomwere, o porque son terceros proveedores.
• Servicios esenciales
Mercados en línea, motores de búsqueda, etc, se verán equiparados con los servicios críticos y esenciales, porque se han igualado en importancia, atendiendo al riesgo que supone ya la gran dependencia tecnológica de toda la sociedad. Nuestro día a día se puede ver afectado por riesgos importantes, incluso económicos, para todo el país.
En España están notificados a la UE 171 proveedores esenciales y 55 servicios esenciales definidos. En Finlandia cuentan con un listado de 100.000 organizaciones afectadas por la legislación, puesto que han incluido a todos los servicios de salud. “Aquí nos hace falta cultura en ese sentido. Hay más de 90.000 pymes en España que no tienen obligación legal, pero les afecta una cuestión de concienciación, ya que las amenazas se materializan todos los días.
• Espaldarazo definitivo para los servicios de la seguridad de la información
La Ley va a ser un catalizador y se va a reconocer la importancia de la ciberseguridad. Lo básico se venía haciendo, aunque en general la alta dirección no tenía esta sensibilidad. Ahora hay un marco jurídico que amparan estos riesgos que se tenían sobre la mesa.
El nivel de ciberseguridad del tejido empresarial español es muy hetereogéneo. Se tocan cuestiones como marco de compliance, secretos profesionales, etc, y prevén que cambiará la percepción de que la ciberseguridad es un gasto y para convertirse en una inversión. Puede ser causa de la supervivencia de la empresa y de toda la sociedad, según el peligro al que se enfrente. Van a tener que implementarse equipos de confirmación del cumplimiento normativo, de las diferentes regulaciones que afectan a las empresas, como si fueran un puzzle y, de manera eficiente, suponga un ahorro. Aunque la tecnología puede ayudar a establecer esos controles, habrá que mantener el triángulo tecnología, personas y procesos, porque sin personas el resultado no será mejor.
• Responsable de la Seguridad de la Información ¿debe ser un perfil técnico? ¿una sola persona o un departamento?
La ley ya establece cuáles son sus habilidades y parece que debe ser un perfil relativamente alejado de la tecnología, pero que sepa establecer y gestionar los controles que se deben aplicar. No tiene por qué ser un experto en análisis de vulnerabilidades, pero debe tener conocimientos mínimos de ciberseguridad.
El perfil idóneo será alguien que esté certificado en los procesos de su propia empresa, porque si no no podrá protegerla, y tener capacidad de interlocución ejecutiva. En organizaciones grandes tendrá que ser un equipo, que tenga una visión de 360º. La Ley exige un responsable que firma todo, tiene la última palabra y sus decisiones pueden tener consecuencias legales, porque es el último responsable ante un incidente.
El RD contemplan las labores de apoyo del RSI y la posibilidad de externalizar el servicio.
• Seguros de ciberseguridad
Hay empresas de seguros que se están retirando del negocio de la ciberseguridad, otras suben la prima y otras aumentan las exigencias para establecer la póliza, ante los ataques que se están produciendo y el menor margen de negocio que les queda.
• Certificaciones
Son un fabuloso medio para mitigar o eludir cualquier responsabilidad, y en este sentido ISACA es un gran expedidor de certificaciones reconocidas internacionalmente. La administración no va a tratar igual a una empresa que se haya preocupado de estar certificada que la que no, porque supone una puesta en forma. La empresa tiene que acreditar la diligencia debida. Las certificaciones no te evitan la responsabilidad pero ayudan a demostrar conocimiento y experiencia acreditados por un tercero.
• Canales para las notificaciones
El Real Decreto ha creado ya un marco de autoridades competentes, que es el siguiente:
Los operadores críticos, que deben comunicar al Ministerio del Interior. Los operadores esenciales no críticos deben comunicar a las autoridades ministeriales que aparecen en el listado del Artículo 2 del RD. Los prestadores de servicios digitales deben comunicar al Ministerio de Economía a través de la Secretaría de Estado.
• Pymes
No están afectadas por el RD. Se verán obligadas a aplicar la ley si son terceros y proveedores de las empresas afectadas. Se está batallando en Europa por su inclusión dentro de la directiva NIS, en el caso de los proveedores de Software y Hardware.
