Para que nos demos cuenta del nivel, si buscamos la información de este asunto en el web del ministerio del Interior podemos leer lo siguiente: “El Gobierno aprueba una ley de protección y resiliencia de las entidades públicas y privadas que operan en los sectores estratégicos”. A ver, en este país el Gobierno, salvo en contadísimas circunstancias que hoy no se dan, carece de potestad para aprobar normas con rango de ley. Así que, o es ignorancia o que al redactor y al supervisor del comunicado les ha traicionado el subconsciente, o ambas cosas.

Sea como fuere, el proceso de trasposición de la CER ya se ha iniciado, dure lo que dure. Pero el de la NIS2, no. ¿Por qué? ¿No hay interés en la Secretaría de Estado de Seguridad en avanzar? ¿En otros involucrados? ¿Qué ventaja hay en no mover la NIS2 y para quiénes?

Me temo que la ciberseguridad en Interior se sigue concibiendo como una actividad compatible con la seguridad privada. Y eso contrasta notablemente con la línea ideológica de un Gobierno que dice llamarse progresista, en el que uno de sus ministros incombustibles es, precisamente, el de Interior, cuyo departamento es el encargado de llevar al consejo de ministros para su discusión la propuesta de texto de NIS2, al igual que ya ha hecho con CER. ¡Qué cosas!

CISOs sin defensa

Los responsables de seguridad de la información, que provienen en un altísimo porcentaje, del mundo de las ingenierías (Telecomunicaciones, Informática, Industriales…) están directamente concernidos por el dibujo que de ellos se hace en los textos disponibles del anteproyecto de ley por el que se traspondría a la legislación española la NIS2. Pero los CISO, como colectivo, nunca han sabido (o querido) dar la batalla en estos frentes. Ni los públicos ni los privados. O no han sabido o no han querido. Y no parece que las asociaciones en las que participan algunos (¡ojo, participan!) hayan sabido dar forma a su figura y defenderla, y no dejarla dependiente del CIO o el CSO, principalmente.

Contrasta esta circunstancia con el papel y la creciente protección que da la legislación sobre protección de datos personales y tratamientos al DPD. Su figura está bien definida: asesora e informa con independencia.

Hay casos en los que el CSO Global es un teleco. Pocos, tan pocos como que un DPD sea ingeniero y, a posteriori, pase a ser CISO. Y viceversa, que un CISO pase a ser DPD y, después, a CIO. No conozco casos en los que un CSO procedente de entornos policiales o militares pase a CIO o a CISO o a DPD. (No debería haber impedimento, porque en la carrera de las armas y en la policial, hay ingenieros especialistas en TIC y licenciados en ciencias jurídicas; aunque mal no está recordar aquí que en lo policial, los juristas se suelen definir a sí mismos como policías).

Tampoco quiero convertir este artículo en un alegato corporativista. Pero reconozcamos que hacer el viajecito anual a la RSA de Frisco o firmar dos o tres documentos sobre el papel del CISO no es defender al CISO; y menos en estos momentos, que es cuando se necesita, tanto en el sector privado como en el público.

CER antes que NIS2 a las Cortes Generales. Ese es el hecho. La explicación: ¡vaya usted a saber! Una posible justificación: que como la UE está replanteándose la legislación digital, merece la pena esperar. Y si no está de acuerdo, pues pregunte en Interior o a la IA.