Seguritecnia 469

38 SEGURITECNIA Noviembre 2019 E l Real Decreto Ley 12/2018, de seguridad de las redes y siste- mas de información, que trans- pone la Directiva 2016/1148 del Parla- mento Europeo y del Consejo, más co- nocida como Directiva NIS, establece la obligación para los operadores de ser- vicios esenciales de designar un respon- sable de la Seguridad de la Información (RSI). Esta figura, que puede ser una persona, unidad u órgano colegiado, debe actuar como punto de contacto y de coordinación técnica con la autori- dad competente. Su creación es un indudable acierto del legislador español, dado que no aparece en la Directiva que se trans- pone. En este sentido, hay que recordar que la Directiva 2008/114, sobre protec- ción de infraestructuras críticas (PIC), es- tablecía para los operadores críticos la obligación de designar un responsable de Enlace para la seguridad, que asu- miría la función de punto de contacto para cuestiones de seguridad entre el propietario u operador de la infraes- tructura y la autoridad competente del Estado miembro. Esta diferencia de tra- tamiento suscita alguna reflexión, es- pecialmente en el momento en que se está configurando un modelo que, tra- tándose de seguridad, debe ser armó- nico y eficiente. Modelo PIC Hay que hacer notar que la Directiva PIC no habla de un responsable de Seguri- dad, sino de un responsable de Enlace para la seguridad . En cualquier caso, el legislador español, al transponer la Di- rectiva (Ley 8/2011), avanza en el con- cepto y exige al operador la designación de un responsable de Seguridad y En- lace (RSE), además de un delegado de caso, las necesidades operativas e infor- mativas que surjan al respecto”. No obs- tante, en cuanto a su faceta de respon- sable de Seguridad, la normativa de seguridad privada es clara, no solo en la atribución de funciones y responsa- bilidades al director de Seguridad, sino al exigir la cualificación necesaria para obtener la habilitación como tal. Desconocemos si la intención del le- gislador era regular las funciones de los responsables de Seguridad de los ope- radores críticos o solo garantizar con su presencia un enlace técnicamente capacitado. Lo cierto es que, bajo esta normativa, los operadores críticos vie- nen designando como RSE tanto a su responsable de Seguridad como a otros miembros de sus respectivos departa- mentos de Seguridad que cuenten con la habilitación correspondiente. En cual- quier caso, queda ahí un espacio de mejora para que en futuras revisiones se defina mejor la posición de esa im- portante figura. Seguridad por cada una de sus infraes- tructuras consideradas críticas. En todo caso, la Ley impone que el RSE desig- nado deberá contar con la habilitación de director de Seguridad expedida por el Ministerio del Interior, según lo pre- visto en la normativa de seguridad pri- vada o con la habilitación equivalente, en función de su normativa específica. Se trata, evidentemente, de un requisito mínimo para garantizar la cualificación técnica del designado, en su doble fun- ción de responsable de Seguridad y de Enlace con la Administración. El Real Decreto 704/2011, que desa- rrolla la Ley PIC, no especifica las fun- ciones del RSE en tanto que responsa- ble de seguridad, sino únicamente en su faceta de enlace: “el responsable de Seguridad y Enlace representará al ope- rador crítico ante la Secretaría de Estado de Seguridad en todas las materias rela- tivas a la seguridad de sus infraestructu- ras y los diferentes planes especificados en este reglamento, canalizando, en su César Álvarez Fernández / Coordinador de Proyectos de la Fundación Borredá El responsable de Seguridad de la Información y la necesidad de armonizar la normativa A vista de