phone 915 752 750 email aec@aec.es

    Novedades con la directiva NIS: El empoderamiento del CISO

    Delegado de protección de datos > El Blog del DPD/DPO > DPD DPO > Novedades con la directiva NIS: El empoderamiento del CISO

    Novedades con la directiva NIS: El empoderamiento del CISO

    4 marzo, 2021 | Blog AEC GOVERTIS | DPD DPO

    La Directiva NIS *1 (Security of Network and Information Systems) europea relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión fue traspuesta al ordenamiento jurídico español con la entrada en vigor del RD-ley 12/2018 *2 de 7 de septiembre, de seguridad de las redes y sistemas de información.

    Con la llegada del nuevo RD 43/2021 *3, de 26 de enero España se desarrolla reglamentariamente el RD-ley 12/2018 y llegan novedades para el cumplimiento de obligaciones de seguridad de los operadores de servicios esenciales y proveedores de servicios digitales en cuanto a:

    • Marco institucional.
    • Supervisión de la ciberseguridad por parte de la Administración.
    • Notificación de ciberincidentes de seguridad
    • Gobierno / gobernanza de la ciberseguridad en las organizaciones.

    En este artículo, abordamos las novedades que se desarrollan a través del Artículo 7 de dicho RD que afectan, en particular, a la figura Responsable de Seguridad de la Información al que, de ahora en adelante, nos referiremos como CISO.

    ¿Qué novedades afectan al CISO?

    • Obligación de designación oficial de un CISO y un sustituto del mismo (porque los CISOs también pueden estar ausentes, por vacaciones o enfermedad). Aunque se indica que pueda ser un órgano colegiado, deberá designarse como tal a una persona física quien ejercerá las funciones de punto de contacto y coordinación técnica con la autoridad competente y el CSIRT de referencia que le corresponda. Se establece un plazo máximo de tres meses tras la designación como operador de servicios esenciales para formalizar este nombramiento.
    • Comunicación a la autoridad competente correspondiente de la designación del CISO (y su backup), conforme al plazo establecido de tres meses antes mencionado (hasta el mes de abril 2021). En caso de nuevos nombramientos o ceses hay obligatoriedad de mantener esta información de contacto actualizada, comunicándolo igualmente con un plazo máximo de un mes desde que se produzcan.
    • Punto de contacto, ejercerá a modo de “ventanilla única” respecto a la autoridad competente, en materia de supervisión y con el CSIRT de referencia, para gestión de ciber incidentes. Además, quedarán bajo la responsabilidad del CISO:
      • Políticas de seguridad. Deberá elaborar y proponer para aprobación por la organización de las políticas de seguridad, con un enfoque de gestión del riesgo que reduzca al mínimo el impacto derivado de ciberincidentes que afecten a la organización y los servicios.

    Uno de los objetivos de la Directiva NIS es asegurar la resiliencia de las organizaciones afectadas a nivel europeo frente a ciber incidentes. Para ello es importante disponer de Planes de Contingencia y Continuidad de Negocio actualizados, que les permitan restablecer los servicios y procesos críticos en el menor tiempo posible.

      • Supervisar y desarrollar la aplicación de las políticas de seguridad, normativas y procedimientos, supervisar su efectividad y realizar controles de seguridad periódicos.

    El cumplimiento de las obligaciones técnicas y organizativas en materia de seguridad podrá acreditarse ante la entidad supervisora, mediante la certificación en un esquema de seguridad que sea reconocido por el CSIRT de referencia (ej: el ENS o la ISO 27001).

      • Declaración de Aplicabilidad: Deberá elaborar y remitir el documento de Declaración de Aplicabilidad de medidas de seguridad en un plazo máximo de seis meses desde la designación como operador de servicios esenciales. Esta declaración de aplicabilidad deberá revisarse, al menos, cada tres años.

    La entidad competente respectiva supervisará tanto la Declaración de aplicabilidad inicial de medidas de seguridad, como las sucesivas revisiones.

      • Actuar como capacitador de buenas prácticas de seguridad en redes y sistemas de información, tanto en aspectos físicos como lógicos.
      • Notificación de incidentes de seguridad a la autoridad competente, a través del CSIRT correspondiente. Se deberá notificar en tiempo y forma, aquellos incidentes de seguridad que afecten a la prestación de servicios a los que se refiere el Artículo 19.1 del RD-ley 12/2018, de 7 de septiembre.

    La notificación de incidentes de seguridad deberá seguir la taxonomía definida en el Anexo del RD 43/2021, estableciendo el nivel de impacto y peligrosidad, así como la información requerida.

    Según esta clasificación se definen unas ventanas temporales de reporte, para la notificación inicial, intermedia y final. A modo de ejemplo, la notificación inicial deberá ser Inmediata, en caso de incidentes con nivel de peligrosidad o impacto CRÍTICO, MUY ALTO o ALTO.

      • Recibir, interpretar y supervisar la aplicación de instrucciones y guías emanadas de la autoridad competente, tanto para operativa habitual como para subsanar deficiencias detectadas.
      • Recopilar, preparar y suministrar información a la autoridad competente o el CSIRT de referencia, ya sea atendiendo a un requerimiento o por propia iniciativa.
    • Requisitos del CISO. Los operadores de servicios esenciales deberán garantizar que el CISO cumpla con conocimientos especializados y experiencia en materia de ciberseguridad, desde los puntos de vista organizativo, técnico y jurídico adecuados al desempeño de sus funciones. Para el desarrollo de dichas funciones deberá contar con los recursos necesarios y, a nivel organizativo, contar con una posición que garantice su independencia respecto a responsables de redes o sistemas de información y mantener una comunicación real y efectiva con la Alta dirección.
    • Compatibilidad de funciones. Cuando concurran los requisitos de conocimiento, experiencia, independencia y, en su caso, titulación, las funciones encomendadas al CISO podrán compatibilizarse con las señaladas para el Responsable de Seguridad y Enlace y el Responsable de Seguridad del Esquema Nacional de Seguridad, según dispone la normativa aplicable sobre ambas figuras.

    El listón se ha puesto alto en cuanto a requisitos y responsabilidades del CISO, por lo que resulta necesario potenciar su figura a nivel organizativo y dotarle de los recursos requeridos para lograrlo.

    Conclusiones

    En lo referente a la figura del CISO, el RD 43/2021 plantea a las organizaciones afectadas la obligatoriedad de designación del mismo, estableciendo una serie de requisitos y competencias que debe satisfacer para impulsar de forma efectiva las iniciativas de mejora en materia de ciberseguridad.

    Para desarrollar de forma eficiente las funciones encomendadas (y no morir en el intento), este Real Decreto establece que el CISO podrá apoyarse en servicios de consultoría prestados por terceros.

    Equipo Govertis

    Javier Santiago

    [1] VÉASE EUR-Lex – 32016L1148 – EN – EUR-Lex (europa.eu)

    [2] VÉASE Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información. (boe.es)

    [3] VÉASE https://www.boe.es/eli/es/rd/2021/01/26/43