En el BOE del pasado 28 de enero se publica RD 43/2021, que desarrolla el Reglamento de Desarrollo del RD de Transposición 12/2018 que trasponía la Directiva NIS del 2016 en nuestro país.

Para explicar la importancia de la nueva normativa, ISACA Madrid y aesYc, celebraron un webinar con la presencia de 1600 inscriptos y la colaboración de Derecho de la Red, la ASCOM (Asociación Española de Compliance), el Arco Atlántico de Ciberseguridad en el Entorno Digital (ACED), CyberMadrid, ENATIC (Abogacía Digital), el apoyo institucional del Centro Criptológico Nacional (CCN) y de la Fiscalía de la Sala de Criminología Informática.

Crear cultura de la ciberseguridad

Vicente Moret, Letrado de las Cortes Generales y Of Counsel de Andersen, se encargó de diseccionar las novedades que presenta la nueva regulación “que en materia de ciberseguridad ha venido para quedarse” y describió la jornada como la ideal “crear cultura de la ciberseguridad”, cada vez más necesaria.

Este experto destacó los aspectos centrales del nuevo Real Decreto, que prolonga la transposición de la Directiva NIS 12/2018, por lo que hay que interpretar conjuntamente ambas normas. Para Moret, “se afianza la tendencia de la regulación de la ciberseguridad y el ciberespacio. El RD abarca el marco institucional, la regulación de la ciberseguridad por parte de la Administración, la gestión de los incidentes, la gobernanza de la información cíber de las empresas, con su imprescindible Responsable de la Seguridad de la Información (CISO)” y afecta de mayor a menor a los operadores de servicios esenciales críticos, los no críticos y los de servicios digitales, “con diferentes modelos de obligación según qué empresa seas”.

Así, destacó que hay un cuadro de implicados entre empresas que gestionan agua, energía, financieras, administraciones públicas, alimentación y salud, que nos son críticos y están incluidos en la norma. Otra
categoría son los operadores implicados en Defensa Nacional, con obligaciones específicas de obligación legal.

También indicó que la norma establece la obligatoriedad de tener una política de seguridad, una política de gestión de terceros suministradores para controlar el riesgo, de contar con planes de recuperación, la obligación de comunicar incidentes y la declaración de aplicabilidad, (que indica a qué se compromete frente a la administración).

CISO y poderes de la administración

El RD también establece el Esquema de Seguridad Nacional como punto de partida para cumplir la ley, muestra convergencia entre la regulación de datos y de ciberseguridad, así como el estatuto del CISO, responsable de seguridad, que se convierte en una especie de superhombre, que debe tener múltiples capacidades y responsabilidades añadidas.

“Puede ser una persona o un grupo, aunque debe siempre figurar una persona física. Se le exigen muchos conocimientos especializados organizativos, técnicos y jurídicos. Así, se le coloca muy alto en la escala dentro de la empresa u organización, independiente del área de Sistemas y con capacidad para hacer auditorías”, explico Moret.

La Administración también cuenta a partir de esta regulación de un marco para sancionar, y describe cuáles son sus competencias antes las organizaciones afectadas, como obligar a que se realice una auditoría externa.

Para Moret “ahora es el momento poner la ciberseguridad en el lugar que le corresponde, pues toda empresa la obligación de implementar unas políticas y que automatizar la gestión de riesgos”.

Puede leer el artículo completo en Confilegal o ver el webinar desde aquí.