CISO: se hace camino al legislar
Cuando se publique en el BOE el Real Decreto de desarrollo del Real Decreto-Ley NIS, cuyo proyecto puso el Gobierno en funciones, a travĆ©s del centro directivo competente, en este caso la SecretarĆa de Estado para el Avance Digital, en trĆ”mite de audiencia e informaciĆ³n pĆŗblica, veremos si hay algĆŗn cambio relevante de contenido.
El documento, en su fase de tramitaciĆ³n a fecha de cierre de esta ediciĆ³n, trae buenas noticias para los concernidos por el Ć”mbito NIS (directamente los operadores de servicios esenciales y proveedores de servicios digitales): concreta el marco estratĆ©gico e institucional, fija requisitos de seguridad, dedica un capĆtulo a la gestiĆ³n de incidentes (notificaciĆ³n, procedimiento y Plataforma Nacional de NotificaciĆ³n y Seguimiento de Ciberincidentes), fija criterios para la supervisiĆ³n y aporta en anexo la InstrucciĆ³n Nacional de NotificaciĆ³n y de GestiĆ³n de Incidentes.
La verdad es que si alguna persona del mundillo de la ciberseguridad no lo ha leĆdo, deberĆa hacerlo urgentemente, porque envueltos en los puntos generales antedichos, hay peteretes, piezas falsamente insĆpidas y alguna especia que amarga.
JosƩ de la PeƱa MuƱoz
Director
jpm@codasic.com
La especia que amarga es el uso de la expresiĆ³n āseguridad integralā en un documento NIS. (Tampoco deberĆa usarse en el Ć”mbito PIC). La seguridad integral, una apropiaciĆ³n del mundillo de la seguridad fĆsica y de las personas e instalaciones ante ciertas situaciones y circunstancias, es producto del ombliguismo anacrĆ³nico que impera en ciertos predios corporativistas, que la usan para dar fundamento a lo que no lo tiene. Hay decenas de seguridades en base a la disciplina y el escenario: mĆ©dica, farmacĆ©utica, industrial, alimentaria, hospitalaria, nuclear, vial, arquitectĆ³nica, aĆ©rea, naval, tecnolĆ³gica, jurĆdicaā¦ HabrĆa que hacer un esfuerzo por dejar claro esto. La buena noticia es que en el proyecto del que hablamos, solo se usa la citada expresiĆ³n en una ocasiĆ³n.
Vayamos ahora con las piezas que he llamado antes falsamente insĆpidas. No son otras que aquellas en las que se empieza a dar el pistoletazo de salida a la apertura del melĆ³n normativo sectorial NIS (lĆ©ase el ArtĆculo 3. Autoridades competentes). Resulta necesario abrirlo, pero de un modo especialmente multicooperativo.
La bomba
Y llegamos a los peteretes, es decir, al CapĆtulo III (Requisitos de Seguridad) del proyecto, y muy especialmente su ArtĆculo 7, titulado āResponsable de Seguridad de la InformaciĆ³nā. Para empezar lo que allĆ pone estĆ” mĆ”s que bien. ĀæSe puede mejorar? Por supuesto. Pero ante todo hay que felicitarse por el logro, que esperemos no se modifique a mal en el BOE.
Algunos responsables de seguridad de la informaciĆ³n (RSI), aun aplaudiendo el contenido de este artĆculo, insisten en que hubiera sido necesario definir la relaciĆ³n entre el RSI y el Responsable de Seguridad y Enlace (RSE), o ser mĆ”s explĆcitos en el nivel de capacitaciĆ³n de los RSI, por ejemplo.
Cierto es que se podrĆan hacer muchas cosas pero, si el asunto va por donde va, la figura del Responsable de Seguridad de la InformaciĆ³n ha iniciado el camino de la regularizaciĆ³n. Eso sĆ, exclusivamente en el Ć”mbito NIS.
Mmmā¦ me da que en algĆŗn momento la UE tendrĆ” que abordar la unificaciĆ³n NIS y PIC, porque los modelos conceptualmente no se sostienen. Y en el caso espaƱol, ademĆ”s, la complejidad del sistema (incluida la dimensiĆ³n RGPD) hace empalidecer la de las TeorĆas fĆsicas del Todo.
Por tanto, arremanguƩmonos, colaboremos, esperemos a que se articule el Foro Nacional de Ciberseguridad, y seamos conscientes de que posiblemente tengamos RSI NIS en PSE y PSD, RSI no NIS en PIC, RSI ni NIS ni PIC, RSI NIS en PIC, RS por el ENS, DPDs y responsables de todo junto. (Seguro que alguno se me pasa).
Y un apunte final: segĆŗn el proyecto, el RSI NIS āpodrĆ” apoyarse en servicios prestados por tercerosā para desarrollar sus funciones. Y me pregunto: ĀætendrĆ” alguien pensado regular a estos terceros proveedores de servicios?
