Seguritecnia 482

7 SEGURITECNIA Enero 2021 Editorial “Ser lo que soy, no es nada sin la Seguridad” (Shakespeare) L a regulación española en ciberseguridad ha dado un nuevo paso adelante con la publicación del Reglamento de Seguridad de las Redes y Sistemas de Información (Reglamento NIS). Justo al cierre de esta edición de Seguritecnia , el BOE ha publicado esta norma que desarrolla la Ley NIS, en la cual se establecen obligaciones en la materia para ope- radores de servicios esenciales y proveedores de servicios digitales. El Reglamento NIS viene ahora a desarrollar cuatro as- pectos que, en su conjunto, garantizan la implantación de medidas de seguridad en todas las organizaciones que desempe- ñen una función de elevada importancia para el desarrollo de nuestra sociedad. El Reglamento NIS trata de alinearse además con la normativa sobre protección de las infraestructuras críticas (PIC). Por ejemplo, esta norma se aplica en los 12 sectores estratégicos definidos en la normativa PIC y establece diferentes autorida- des competentes para los operadores esenciales que no soporten infraestructuras críticas ni sean de titularidad pública. La norma aclara asimismo las directrices de cooperación y coordinación de los diferentes CSIRT de referencia. Pero si por algo se caracteriza el Reglamento NIS es por suponer un espaldarazo a la fi- gura del responsable de seguridad de la información. En su apartado sobre requisitos de seguridad, la norma obliga a los operadores de servicios esenciales a designar al titular de este cometido, que además ejercerá de punto de contacto y coordinación técnica con la autoridad competente que le corresponda. El texto legal sitúa al responsable de seguri- dad de la información en una posición elevada e imprescindible dentro de las organiza- ciones, como garante de la implantación y desarrollo de políticas de ciberseguridad. Importante será también el capítulo dedicado a la supervisión de dichas medidas de protección. Los responsables de seguridad de la información tendrán que emitir una “De- claración de Aplicabilidad” donde reflejen las medidas a adoptar. Una suerte de plan de seguridad o declaración de intenciones que las diferentes autoridades competentes su- pervisarán periódicamente. De este modo, estas últimas velarán por el cumplimiento efectivo de las medidas de ciberseguridad que decidan implantar las organizaciones. De este modo se podrá evitar el relajamiento de dichas medidas, corregir deficiencias o abor- dar necesidades por parte de los operadores. Algo que sin duda redundará no solo en la protección de las organizaciones sino de todo el sistema de seguridad nacional. En definitiva, el Reglamento NIS supone un engranaje más en el sistema de protección de las empresas en el ámbito digital. Lo cual contribuye a construir un entorno más se- guro para toda la sociedad, que es el objetivo último de las iniciativas sobre esta cuestión que se están poniendo en marcha en los últimos años, tanto nacionales como desde la Unión Europea. No en vano, la Comisión ha iniciado la revisión de la Di- rectiva NIS, que es la norma de la que han partido todas las regulaciones que están apareciendo sobre la seguridad de las re- des y sistemas de los operadores esenciales. En la ciberseguridad focalizará parte de sus esfuerzos la editorial Borrmart a lo largo de este año, comenzando por el espe- cial sobre ciberseguridad que pueden encontrar en este número de Seguritecnia . A lo largo de este año, también llevaremos a cabo iniciativas como el evento titulado “La Alta Dirección, Concienciación & Implicación con la Ciberseguridad”, que ten- drá lugar el 24 de febrero; o el Encuentro de la Seguridad Integral (Seg2). El Reglamento NIS será, además, el tema central del segundo “Zoom de la Fundación Borredá”, una tertulia virtual que tendrá lugar el 3 de marzo. La protección del ciberespacio debe ser una prioridad para las administraciones, las organizaciones y los ciudadanos. Para nosotros, como parte importante en la generación de una cultura de seguridad, también. Reglamento NIS: engranaje de la ciberseguridad para los servicios esenciales La norma supone un espaldarazo a la figura del responsable de seguridad de la información dentro de las organizaciones