Ochenta y nueve CISOs y 4 exCISOs han considerado procedente contestar a una sola pregunta, formulada por SIC, sobre el punto 4 del artículo 7 del -a fechas de cierre de esta edición- todavía proyecto de Real Decreto de desarrollo del Real Decreto-Ley por el que se transpuso a la legislación española la Directiva NIS.
Precisamente el artículo 7 del proyecto del texto referido se titula “Responsable de Seguridad de la Información”, y en su punto 4 se indican los requisitos que este deberá cumplir. (En el especial dedicado en páginas interiores de la presente edición se reproduce íntegro el citado punto).
La pregunta formulada por SIC ha sido la siguiente: “¿Qué aspectos de los requisitos que deberá cumplir el Responsable de Seguridad de la Información le parece más importante para afianzar su figura?”.
Ni todos ni todas piensan igual, aunque en general la opinión es favorable a lo indicado en el texto gubernamental. Sin embargo, algunos expresan una cierta desilusión por no haberse especificado la capacitación demostrable que debe tener un CISO y los miembros de su Equipo. Pero eso es algo que, si procede, podría irse perfilando en posteriores normativas; aunque -todo hay que decirlo-, el detalle regulatorio de grano fino en el terreno estrictamente profesional, de llevarse a cabo, pudiera chocar con el legítimo derecho de toda organización a nombrar a la persona que considere procedente. En esto, como en otros frentes, el modelo anglosajón tiene notables ventajas, al hacer en general más hincapié en lo recomendable que en lo obligatorio. Algún que otro experto de los que han respondido manifiesta su consternación por considerar que la figura de Responsable de Seguridad de la Información dibujada carga las tintas en lo normativo-consultivo y cuasiauditor, y poco en las capacidades operativas.
No obstante lo dicho, ninguna respuesta le hace ascos a que pudiera ser reconocida legalmente la figura del Responsable de Seguridad de la Información, eso sí, tristemente tarde, porque existe desde hace muchos años.
El ejecutivo autonómico catalán ha anunciado la aprobación de la primera Estrategia de Ciberseguridad de la Generalitat de Cataluña y el acuerdo para la puesta en marcha, desde primeros del año 2020, de la Agencia de Ciberseguridad de Cataluña.
Como ya publicó SIC en su momento, el 31 de octubre de 2017, el Gobierno de España presentó recurso ante el Constitucional contra parte de lo indicado en la ley 15/2017, de 25 de julio, de la Agencia de Ciberseguridad de Cataluña, al considerar algunos extremos inconstitucionales. El Tribunal estimó parcialmente el recurso y declaró inconstitucionales algunos contenidos de la ley autonómica referida, pero en absoluto declaró contraria a la Constitución la creación de la Agencia.
Según manifestaciones –facilitadas por Efe– de Jordi Puigneró, consejero de Políticas Digitales de la Generalitat de Cataluña, se desea que la Agencia tenga un presupuesto de “14 millones” (de euros), aunque esto estará supeditado “…a que se aprueben nuevos presupuestos”.
Resulta inevitable no hacer una comparación entre el montante presupuestario de una empresa de ámbito nacional como INCIBE, que asciende a poco más de 20 millones de euros, y los 14 millones que el Govern quiere destinar a su Agencia. Y mejor no compararlo con la disponibilidad presupuestaria de otras estructuras de la Ciberseguridad Nacional.
El Gobierno de España aprobó en su reunión de Consejo de Ministros de 31 de octubre del presente un nuevo Real Decreto-Ley, en esta ocasión centrado en la administración electrónica, la contratación de las administraciones públicas y las telecomunicaciones.
La pieza legal tiene por objeto regular este marco normativo, que comprende medidas urgentes relativas a la documentación nacional de identidad, a la identificación electrónica ante las Administraciones públicas, a los datos que obran en poder de las mismas, a la contratación pública, y al sector de las telecomunicaciones.