CISO: se hace camino al legislar
Cuando se publique en el BOE el Real Decreto de desarrollo del Real Decreto-Ley NIS, cuyo proyecto puso el Gobierno en funciones, a travĆ©s del centro directivo competente, en este caso la SecretarĆa de Estado para el Avance Digital, en trĆ”mite de audiencia e información pĆŗblica, veremos si hay algĆŗn cambio relevante de contenido.
El documento, en su fase de tramitación a fecha de cierre de esta edición, trae buenas noticias para los concernidos por el Ć”mbito NIS (directamente los operadores de servicios esenciales y proveedores de servicios digitales): concreta el marco estratĆ©gico e institucional, fija requisitos de seguridad, dedica un capĆtulo a la gestión de incidentes (notificación, procedimiento y Plataforma Nacional de Notificación y Seguimiento de Ciberincidentes), fija criterios para la supervisión y aporta en anexo la Instrucción Nacional de Notificación y de Gestión de Incidentes.
La verdad es que si alguna persona del mundillo de la ciberseguridad no lo ha leĆdo, deberĆa hacerlo urgentemente, porque envueltos en los puntos generales antedichos, hay peteretes, piezas falsamente insĆpidas y alguna especia que amarga.

JosƩ de la PeƱa MuƱoz
Director
jpm@codasic.com
La especia que amarga es el uso de la expresión āseguridad integralā en un documento NIS. (Tampoco deberĆa usarse en el Ć”mbito PIC). La seguridad integral, una apropiación del mundillo de la seguridad fĆsica y de las personas e instalaciones ante ciertas situaciones y circunstancias, es producto del ombliguismo anacrónico que impera en ciertos predios corporativistas, que la usan para dar fundamento a lo que no lo tiene. Hay decenas de seguridades en base a la disciplina y el escenario: mĆ©dica, farmacĆ©utica, industrial, alimentaria, hospitalaria, nuclear, vial, arquitectónica, aĆ©rea, naval, tecnológica, jurĆdica⦠HabrĆa que hacer un esfuerzo por dejar claro esto. La buena noticia es que en el proyecto del que hablamos, solo se usa la citada expresión en una ocasión.
Vayamos ahora con las piezas que he llamado antes falsamente insĆpidas. No son otras que aquellas en las que se empieza a dar el pistoletazo de salida a la apertura del melón normativo sectorial NIS (lĆ©ase el ArtĆculo 3. Autoridades competentes). Resulta necesario abrirlo, pero de un modo especialmente multicooperativo.
La bomba
Y llegamos a los peteretes, es decir, al CapĆtulo III (Requisitos de Seguridad) del proyecto, y muy especialmente su ArtĆculo 7, titulado āResponsable de Seguridad de la Informaciónā. Para empezar lo que allĆ pone estĆ” mĆ”s que bien. ĀæSe puede mejorar? Por supuesto. Pero ante todo hay que felicitarse por el logro, que esperemos no se modifique a mal en el BOE.
Algunos responsables de seguridad de la información (RSI), aun aplaudiendo el contenido de este artĆculo, insisten en que hubiera sido necesario definir la relación entre el RSI y el Responsable de Seguridad y Enlace (RSE), o ser mĆ”s explĆcitos en el nivel de capacitación de los RSI, por ejemplo.
Cierto es que se podrĆan hacer muchas cosas pero, si el asunto va por donde va, la figura del Responsable de Seguridad de la Información ha iniciado el camino de la regularización. Eso sĆ, exclusivamente en el Ć”mbito NIS.
Mmm⦠me da que en algĆŗn momento la UE tendrĆ” que abordar la unificación NIS y PIC, porque los modelos conceptualmente no se sostienen. Y en el caso espaƱol, ademĆ”s, la complejidad del sistema (incluida la dimensión RGPD) hace empalidecer la de las TeorĆas fĆsicas del Todo.
Por tanto, arremanguƩmonos, colaboremos, esperemos a que se articule el Foro Nacional de Ciberseguridad, y seamos conscientes de que posiblemente tengamos RSI NIS en PSE y PSD, RSI no NIS en PIC, RSI ni NIS ni PIC, RSI NIS en PIC, RS por el ENS, DPDs y responsables de todo junto. (Seguro que alguno se me pasa).
Y un apunte final: segĆŗn el proyecto, el RSI NIS āpodrĆ” apoyarse en servicios prestados por tercerosā para desarrollar sus funciones. Y me pregunto: ĀætendrĆ” alguien pensado regular a estos terceros proveedores de servicios?