La normativa aplicada a la ciberseguridad es un auténtico desafío para las organizaciones. ¿Cómo cumplir con una regulación cada vez más amplia, compleja y en constante cambio? Esta es una de las preguntas que dieron pie a la mesa redonda sobre el impacto normativo que se celebró en el 13º Encuentro de la Seguridad Integral (Seg2). Participaron en ella Mar López, responsable de Ciberseguridad del Departamento de Seguridad Nacional (DSN); Esther Mateo, directora general de Seguridad, Procesos y Sistemas Corporativos de Adif; Roberto Baratta, director de Loss Prevention, Business Continuity and Security & DPO de Abanca; y Marcos Gómez, subdirector de Incibe-CERT. Félix de Andrés, gerente de Cyber de Deloitte, moderó el encuentro, en el que quedó patente la complejidad normativa actual y futura.
En ese sentido, López recordó que la Comisión Europea presentó en diciembre de 2020 un nuevo paquete de medidas de ciberseguridad que afectará ampliamente a la regulación. «A medio y largo plazo nos vamos a encontrar mucha normativa para regular un espacio anárquico, muy complejo de abordar», afirmó la representante del DNS.
Entre otras, recordó la revisión de la Directiva sobre Seguridad de las Redes y Sistemas de Información, que dará lugar a la llamada NIS2, y la nueva Directiva sobre Protección de Infraestructuras Críticas. «Pero no hay que dejar de mirar a otras iniciativas que tendrán también cierto impacto, como las relacionadas con la gestión de crisis», añadió López.
Para las empresas, la necesidad de adaptarse a tantas normas al mismo tiempo tiene “un impacto muy potente”, tal como consideró Mateo. «El beneficio [de la normativa] es obvio porque siempre interesa tener directrices, pero las normas están más enfocadas a decir lo que hay que hacer y no tanto a cómo hacerlo ni con qué perfiles», expresó al respecto la responsable de seguridad de Adif.
Por su parte, Baratta puso el acento en la «hiperregulación» del sector financiero, que se ve afectado «por multitud de regulaciones de diferentes ámbitos y orígenes». Para el representante de Abanca, la clave para abordar la complejidad normativa actual está en «reflejar esa tormenta regulatoria en lo que hacemos internamente para mantener las operaciones vivas y seguir proporcionando servicios a los clientes y mantener la confianza».
Directiva NIS2
El encuentro se centró a continuación en la Directiva NIS2, que tratará de resolver las carencias detectadas en su predecesora. Gómez recordó que la Comisión Europea ya ha reconocido que «la aplicación de la NIS se había quedado corta debido al avance de la digitalización y a la situación no prevista de la pandemia».
Entre los asuntos que abordará la nueva directiva, López destacó la seguridad de la cadena de suministro, la gestión coordinada de vulnerabilidades, la gestión de crisis y la seguridad desde el diseño. Aun así, la responsable del DNS consideró que «la Directiva NIS actual ha servido para poner orden».
Desde el punto de vista de las empresas, la representante de Adif sostuvo que «es imposible asumir todos los pasos de una sola vez», por lo que las autoridades han de ser conscientes de que «determinados aspectos se quedarán atrás».
Para Baratta, consideró que «aun esforzándose mucho», las empresas no pueden cumplir todo. «Nos conformamos con que nuestro regulador nos diga que vamos bien y poner unas medidas que nos vayan razonablemente bien», afirmó respecto.
Accede también a las mesas redondas sobre ciberseguridad del 13º Encuentro de la Seguridad Integral:
- Crónica general del 13º Encuentro de la Seguridad Integral (SEG2).
- Seguridad y VOLATILIDAD en la era digital.
- Comunicación en la INCERTIDUMBRE de las crisis.
- Lecciones aprendidas cuando la AMBIGÜEDAD te visita.
Archivado en:
