seguritecnia 449

54 SEGURITECNIA Enero 2018 dad y los requisitos de notificación im- puestos a los proveedores de servicios digitales, las referencias a posteriores desarrollos normativos que contiene el anteproyecto de ley deberían tener en cuenta dicho desarrollo reglamen- tario europeo. Por último, dentro de la debida cohe- rencia normativa, hay que poner foco en lo referido a la protección de da- tos, el cumplimiento del Reglamento General Europeo de Protección de Da- tos, así como al envío de información con extremo carácter sensible, como son las políticas de seguridad, tanto a las autoridades competentes como a los CSIRTs. Gestión de incidentes Si bien hay que resaltar el positivo tra- bajo realizado por el MINETAD para intentar unificar, en la medida de lo posible, las competencias de las dis- tintas autoridades y organismos impli- cados, así como la creación del punto único, hay que incidir en la necesidad de crear una ventanilla única de se- guridad que permita la canalización de cualquier incidente que afecte a la seguridad, independientemente de la materia. Esta ventanilla única per- mitiría, con una agilidad extraordina- ria, garantizar el flujo de la informa- ción sobre los incidentes de seguridad dando debido cumplimiento a las ne- cesidades de información de todas las partes afectadas, así como su rápida actuación. Alternativamente, la unificación de los distintos CSIRT en uno único con- tribuiría de forma significativa a la ne- cesaria colaboración a nivel europeo para la detección y actuación sobre in- jetos a esta ley. Ahora bien, teniendo en cuenta la habitualidad de la sub- contratación de parte de los servi- cios, con la consiguiente creación de toda una cadena de suministro que aporta valor, pero también es crítica para mantener un nivel de seguridad, debería establecerse con claridad que, en caso de que haya terceros implica- dos en la prestación del servicio, esta- rán también sujetos a las mismas obli- gaciones, mientras que operadores y proveedores serán responsables de subcontratar servicios que les permi- tan cumplir con sus obligaciones. Por otra parte, al establecer en el artí- culo 15.2 las obligaciones de seguridad de los operadores de servicios esencia- les y de los proveedores de servicios di- gitales, se deja al desarrollo reglamen- tario un margen de discrecionalidad excesivo. Sería muy conveniente fijar un marco de referencia basado en es- tándares internacionales, cuerpos de conocimiento y otras fuentes de bue- nas prácticas ampliamente reconocidas y ya utilizadas y desplegadas en em- presas del sector privado. Ciertamente, la Administración debería tomar en consideración como fuente de infor- mación las buenas prácticas ya desa- rrolladas internacionalmente, que son exigibles y requeridas para otros ámbi- tos y que se han demostrado efectivas, en los niveles de exigencia solicitados por el mercado. En cualquier caso, dado que actual- mente la Comisión Europea se en- cuentra preparando un acto de eje- cución en forma de reglamento con el objeto de especificar los elementos y parámetros de las medidas de seguri- nes de las autoridades competentes, es el momento de valorar si esta so- lución es más operativa que la de es- tablecer una autoridad de referencia, en la línea apuntada en el párrafo an- terior y como la propia ley prevé para los CSIRT en el caso del CCN-CERT. En cualquier caso, la ley debería incorpo- rar al artículo 10.g) la obligación ex- presa para estas autoridades de cola- borar entre sí. Por otra parte, en lo que respecta a las autoridades competentes en mate- ria de seguridad, es necesario aclarar, al menos, dos casuísticas que no han sido recogidas en el anteproyecto de ley: Empresas que cumplen de forma si- multánea varios de los requisitos in- dicados, como es el caso de un ope- rador de servicios esenciales, que ha sido clasificado como operador de in- fraestructuras críticas, pero que a su vez presta servicios digitales. Enten- demos que, en este caso, la autoridad competente debería ser el CNPIC. Grupos de empresas, donde pueden existir varias empresas del grupo que cumplen diferentes condiciones en cuanto a aplicación y obligaciones de la ley. De acuerdo con la idea de armonizar el proceso de comunica- ciones y responsabilidad, debería ser nuevamente el CNPIC. En cuanto a los requisitos de los CSIRT de referencia, el artículo 12.1.c) emplea el término “traspasos”, no de- finido y, por tanto, impreciso: “Estarán dotados de un sistema adecuado para gestionar y canalizar las solicitudes con el fin de facilitar los traspasos”. Es preciso concretar el alcance de la obli- gación para su exigencia efectiva. Obligaciones de seguridad Según el artículo 15, los operadores de servicios esenciales y los provee- dores de servicios digitales deberán adoptar medidas técnicas y de orga- nización, adecuadas y proporcionadas para gestionar los riesgos que se plan- teen para la seguridad de las redes y sistemas de información utilizados en la prestación de los servicios su- A vista de Hay que incidir en la necesidad de crear una ventanilla única de seguridad que permita la canalización de cualquier incidente que afecte a la seguridad independientemente de la materia