Segurilatam 011

14 Segundo cuatrimestre 2019 entrevista Ciberseguridad Por Enrique González Herrero -En septiembre de 2018, la Directiva NIS, relativa a las medidas destina- das a garantizar un elevado nivel co- mún de seguridad de las redes y siste- mas de información, se traspuso al or- denamiento jurídico español a través del Real Decreto-Ley 12/2018. ¿Cómo se está produciendo la adaptación a la norma en lo relativo a las infraestructu- ras críticas? Desde un punto de vista normativo, y en lo que se refiere a la protección de in- fraestructuras críticas, España siempre ha hecho bien los deberes. Se ha traba- jado de manera activa para que el im- pacto de la transposición de la Directiva NIS sea el menor posible desde antes de su aprobación y durante su desarrollo. De igual manera se hizo con la Ley para la Protección de las Infraestructuras Crí- ticas (Ley PIC) en su día. Y si bien existen ciertas cuestiones que hay que definir para que el RDL 12/2018 y la Ley PIC se complementen de manera total, se es- tán analizando y discutiendo. Dicho de otra manera, el esfuerzo que se hizo para identificar a los operadores de infraestructuras críticas por la Ley PIC, no sólo nos ha permitido dar implemen- tación al Plan Nacional de Protección de Infraestructuras Críticas, sino que ha fa- cilitado enormemente la identificación de los operadores de servicios esenciales del RDL 12/2018. En este sentido, ha bas- tado identificar cuáles de estos opera- dores de infraestructuras críticas tienen suficiente dependencia de las tecnolo- gías de la información para considerarlos operadores de servicios esenciales. De esta manera, existirá un gran con- junto de operadores críticos que lo sean también de servicios esenciales (la in- mensa mayoría), un conjunto mínimo de operadores críticos pero no de servi- cios esenciales y algún operador de ser- vicios esenciales que no sea crítico. Por supuesto, esta decisión se ha tomado evaluando a cada operador de manera pormenorizada, valorando su depen- dencia de las tecnologías de la informa- ción y la comunicación (TIC) de manera exhaustiva. -Un aspecto destacado de esa norma es la necesidad de que los operadores comuniquen los incidentes de ciberse- guridad, para lo cual el Consejo Nacio- nal de Ciberseguridad ha aprobado la Guía Nacional de Notificación y Gestión de Ciberincidentes , cuya redacción fue coordinada por el CNPIC. ¿Cuáles son el objetivo, el alcance y los principales puntos de este documento? La Guía Nacional de Notificación y Gestión de Ciberincidentes [en adelante GNNGC ] es uno de los grandes logros de 2018. Y esto es así porque, gracias a ella, se ha consensuado un procedimiento inter- ministerial de alcance estatal de gran re- levancia en el ámbito de la ciberseguri- dad. Estamos hablando de una situación de partida en la que el Centro Criptoló- gico Nacional (CCN) disponía de su pro- pia Guía STIC-817 para el sector público, Incibe-CERT otra guía para el ámbito pri- vado dentro de su constituency y, por úl- timo, el CNPIC había implementado una guía de notificación para operadores críticos. Con la GNNGC hemos logrado que el Instituto Nacional de Cibersegu- “Gracias a la ‘Guía de Notificación de Ciberincidentes’ hemos consensuado un procedimiento de alcance nacional” Fernando Sánchez Director del Centro Nacional de Protección de Infraestructuras y Ciberseguridad (CNPIC) Desde la creación del CNPIC en 2007 y la aprobación de la Ley para la Protección de las Infraestructuras Críticas en 2011, en Es- paña se lleva a cabo una ardua labor con el objetivo de reforzar la seguridad en las instalaciones que prestan servicios esenciales a la ciudadanía. Recientemente, tras la trasposición de la Direc- tiva NIS al ordenamiento jurídico español, el Consejo Nacional de Ciberseguridad hizo pública la ‘Guía Nacional de Notificación y Gestión de Ciberincidentes’ para ayudar a las organizacio- nes afectadas por la norma a notificar los ciberataques que re- ciban. En una entrevista exclusiva a nuestra editorial, Fernando Sánchez, director del CNPIC, explica cuáles son el objetivo, el al- cance y los principales puntos del documento.