Seguritecnia 485

/ Abril 2021 64 A vista de E l Gobierno aprobó el 26 de enero el Reglamento de Seguridad de las Redes y Sistemas de la Información (Reglamento NIS), que desarrolla la ley sobre esta materia que afecta a opera- dores de servicios esenciales y provee- dores de servicios digitales. Se trata de un avance normativo que aclara cues- tiones como el marco institucional de ciberseguridad, la cooperación y coordi- nación, la gestión y notificación de cibe- rincidentes o la función de los respon- sables de seguridad de la información. En definitiva, dibuja un marco de gober- nanza y gestión de la ciberseguridad en organizaciones clave para la sociedad. Con el objetivo de analizar el impacto de la norma en las empresas afectadas por la norma, la Fundación Borredá reu- nió un elenco de expertos en la materia. Andrés Jesús Ruiz Vázquez , consejero técnico en la Unidad de Ciberseguridad y Desinformación del Departamento de Seguridad Nacional (DSN); Joan Puig , CISO de Banco Sabadell; Francisco Lá- zaro , vicesecretario de ISMS Forum y CISO de Renfe; y Félix de Andrés , Ma- nager de Risk Advisory de Deloitte Espa- ña, participaron en una de las tertulias virtuales organizada por la Fundación Borredá. César Álvarez , coordinador de proyectos de esta última, condujo el en- cuentro. Todos ellos coincidieron en que el im- pacto inicial del Reglamento NIS en las organizaciones no debería ser complejo, más bien, el primer paso será revisar qué se ha hecho hasta el momento. “Lo pri- mero que habrá que hacer es revisar qué se había avanzado ya con la Ley NIS [Ley sobre Seguridad de las Redes y Sistemas de la Información], ver lo nuevo que se está haciendo con este reglamento y, a partir de ahí, empezar a trabajar en to- dos los puntos”, observó De Andrés. Una opinión con la que coincidió Puig, de Banco Sabadell, quien también llamó la atención sobre otro aspecto: la ne- cesidad de realizar una declaración de aplicabilidad de las medidas de seguri- dad de las empresas. “Es un nombre que confunde, porque ya habíamos hecho un formulario de aplicabilidad en el que explicábamos sobre qué sistemas de in- formación pensábamos que nos afecta- ba la Ley NIS. Ahora utilizamos la misma palabra en otra dimensión, que es la de las medidas de seguridad”, expuso. Para el representante de ISMS Forum, “la gran mayoría de las organizaciones ya tienen los deberes hechos, porque si provienen del Esquema Nacional de Seguridad (ENS), de infraestructuras crí- ticas o de servicios esenciales, la gran mayoría de las cosas ya están asigna- das, como la designación del respon- sable de seguridad de la información, la notificación de incidentes o incluso la declaración de aplicabilidad”. “Lo que hace el Reglamento es particularizar al- gunos aspectos”, concluyó Lázaro. En la misma línea argumental, el repre- sentante del DSN recordó que “España aprovechó la ocasión” cuando se traspu- so la Directiva NIS “utilizando la normati- Enrique González Herrero Reglamento NIS: un avance para la cibersegridad con dudas que despejar La Fundación Borredá dedicó en marzo su segundo “Zoom de la Fundación Borredá” a ana- lizar el impacto del Reglamento de Seguridad de las Redes y Sistemas de la Información en las empresas. Una norma que representa un avance al respecto, pero que también suscita algunas dudas, como pusieron de manifiesto los invitados a este encuentro online.