seguritecnia 449

SEGURITECNIA Enero 2018 55 la Ley de Seguridad Privada como la de Protección de Infraestructuras Críticas institucionalizan el enlace del operador con la Administración en la figura del director de seguri- dad o responsable de seguridad y en- lace. La Ley NIS debe mantener la co- herencia del modelo atribuyendo es- pecíficamente la función de enlace a la figura del director de seguridad, sin perjuicio de admitir su libertad de or- ganización funcional para optimizar el resultado de su gestión. La ley no contiene ninguna previsión relativa al tratamiento histórico de la información sobre incidentes co- municada a las autoridades compe- tentes o a los CSIRT. Se entiende que una vez comunicado y resuelto un in- cidente, tras extraer la información y conclusiones pertinentes, las nece- sidades de información quedan sa- tisfechas con el análisis estadístico y de tendencias que proporciona el informe anual. La disponibilidad de información en manos de la Admi- nistración supone un costo de man- tenimiento en términos de recursos de almacenamiento y de medidas de protección y, en el peor de los casos, un riesgo de filtración con consecuen- cias reputacionales para las entidades que reportaron el incidente. Parece ra- zonable, en consecuencia, limitar es- tos riesgos mediante la eliminación de la información referida a inciden- sido detectado. El loable ánimo de información al público sobre inciden- tes no debería ser una dificultad ni para su correcta investigación, ni de- bería causar un daño reputacional innecesario a las organizaciones. En ocasiones, la autoridad competente puede no tener una visión completa de los impactos de la comunicación de incidentes en la organización que lo está sufriendo, o de la posible pér- dida de credibilidad de la autoridad o de la entidad en caso de plantearse dudas o consultas para las que aún no se dispone de respuesta. Así pues, en estos supuestos, la au- toridad competente debería con- sultar y coordinarse con el operador de servicios esenciales o el provee- dor de servicios digitales antes de informar al público, evitando hacerlo cuando la información sea insuficiente para ofrecer explicaciones adicionales, o si, tras consultar con las autoridades señaladas en los artículos 14.3 o 18.5, se indicase que la difusión del inci- dente entorpecerá la persecución del posible delito. Respecto al deber de colaboración mutua para resolver incidentes, los operadores de servicios esenciales y los proveedores de servicios digitales han de suministrar al CSIRT de referen- cia y a la autoridad competente toda la información que se les requiera para el desempeño de sus funciones. Tanto cidentes o ciberataques. Como es sa- bido, éstos evolucionan de forma con- tinua y con origen muy distinto, de modo que es necesario insistir en que se establezcan cauces eficientes y efi- caces de colaboración entre los CSIRT de los distintos Estados miembros, y de estos con los prestadores de servi- cios esenciales, pues ayudarán a pre- venir potenciales riesgos para la se- guridad europea y, al mismo tiempo, permitirán cumplir con uno de los principales objetivos de la NIS, que es el desarrollo de una red robusta, así como a la prestación de servicios de la forma más segura posible. El artículo 21.1 requiere realizar una primera notificación “sin dilación inde- bida”. Pero no se fija un plazo para no- tificar, aunque sea máximo. Dado que la directiva no prohíbe ni fija plazo al- guno y que el Reglamento General de Protección de Datos ha estable- cido un plazo máximo de 72 horas para la notificación –que ya es cono- cido por las organizaciones–, se consi- dera muy efectivo utilizar también ese plazo de 72 horas, a contar desde el momento en que el operador identi- fique el incidente. La cuestión de la información al pú- blico, regulada en el artículo 25, re- sulta extremadamente delicada. Ob- viamente, la autoridad competente debe tener la capacidad de exigir a los operadores de servicios esencia- les o a los proveedores de servicios digitales que informen al público so- bre los incidentes cuando su conoci- miento sea necesario para evitar nue- vos incidentes o gestionar uno que ya se haya producido, o cuando la divul- gación de un incidente redunde en in- terés público. El problema más grave se pre- senta cuando la decisión sobre co- municación se toma de forma uni- lateral por el regulador, incluso si la investigación del mismo está en marcha, o si el incidente se ha repor- tado sin toda la información, o in- cluso si su difusión podría advertir al/ los atacante/s de que su ataque ha A vista de