Empresas de servicios esenciales, infraestructuras críticas y operadores deberán tener por ley un responsable de seguridad de la información
La ciberseguridad en las empresas es ya obligatoria y exige responsabilidades legales ante la autoridad reguladora.
La ciberdelincuencia sigue en aumento. El Instituto Nacional de Ciberseguridad gestiona más de 100.000 incidentes anuales de empresas y de particulares, de las que cerca de 700 se corresponden con operadores estratégicos como compañías eléctricas o empresas de telecomunicaciones.
Unas deficiencias que el teletrabajo ha puesto aún más de manifiesto al tener que trabajar muchos empleados con equipos en remoto.
En este escenario se aprobó el Real Decreto Ley 43/2021 por el que se desarrolla la llamada “Ley NIS” de seguridad de las redes y sistemas de información cuya aplicación va a tener un alto impacto en las organizaciones y las empresas afectadas, siguiendo con la línea de la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016.
La gran expectación se debe a que esta norma supone un antes y un después en el marco regulador de la ciberseguridad. Entre otras novedades introduce la exigencia de la creación de la figura del Responsable de Seguridad de la Información (RSI) con los medios y recursos suficientes para que pueda llevar a cabo sus funciones de manera eficaz y real. Dicha figura, será una persona que ostentará las competencias para elaborar y supervisar las políticas de seguridad y las medidas técnicas y organizativas a implantar en la organización, con responsabilidad legal ante la autoridad reguladora. Su entrada en vigor impone adaptar y preparar a las empresas al nuevo marco normativo ya que, en caso contrario, se podrían derivar responsabilidades.
Esto implica que los operadores deberán dotar de personal con conocimientos y experiencia en este campo, quienes tendrán además una posición dentro de la organización que facilite el desarrollo de esas funciones y le permita la interlocución con la alta dirección. De acuerdo con el texto legal, este marco normativo se aplicará a los servicios esenciales dependientes de las redes y sistemas de información comprendidos en sectores estratégicos con el fin de establecer medidas para la protección de infraestructuras críticas, así como a los servicios digitales que sean de mercado en línea, motores de búsqueda en línea y servicios de computación en nube.
Perfil del Responsable de la Seguridad de la Información:
La ley ya establece cuáles son sus habilidades y parece que debe ser un perfil relativamente alejado de la tecnología, pero que sepa establecer y gestionar los controles que se deben aplicar. No tiene por qué ser un experto en análisis de vulnerabilidades, pero debe tener conocimientos mínimos de ciberseguridad.
El perfil idóneo será alguien que esté certificado en los procesos de su propia empresa, porque si no no podrá protegerla, y tener capacidad de interlocución ejecutiva. En organizaciones grandes tendrá que ser un equipo, que tenga una visión de 360º. La Ley exige un responsable que firma todo, tiene la última palabra y sus decisiones pueden tener consecuencias legales, porque es el último responsable ante un incidente.
El RD contemplan las labores de apoyo del RSI y la posibilidad de externalizar el servicio.
Impacto de la norma
Esta regulación impactaría en todas las empresas, dependiendo del nivel de madurez de las mismas en materia de ciberseguridad, y supondrá una aceleración de la implantación, una apertura de un abanico de servicios de empresas, además de en la Administración Pública.
Quiénes estarán afectados
A los operadores de infraestructuras críticas, que por razones de seguridad no se hace pública, operadores de servicios esenciales y proveedores de servicios digitales. También las pymes que sean terceros proveedores.
Certificaciones
Son un fabuloso medio para mitigar o eludir cualquier responsabilidad. La Administración Pública no va a tratar igual a una empresa que se haya preocupado de estar certificada que la que no, porque supone una «puesta a punto». Las certificaciones no te evitan la responsabilidad pero ayudan a demostrar conocimiento y experiencia acreditados por un tercero.
Redacción ASECOPS: María Cruz Míguez López