El Reglamento de la Ley NIS, precisa algunas cuestiones imprecisas establecidas por el Real Decreto 12/2018.
Fuente: Canal de YouTube Actualidad IP & IT
En este medio lo hemos reseñado más de una vez: los ciberataques están a la orden del día y las organizaciones tienen que prepararse para afrontarlos. Esta fue la idea que llevó al Parlamento Europeo a publicar, en 2016, la Directiva de Seguridad de la Red y Sistemas de Información (llamada NIS en inglés). España transpuso la norma dos años después con el Real Decreto 12/2018 y, a principios de este año, publicó el Reglamento de desarrollo de la Ley NIS.
Esta normativa viene a complementar las líneas establecidas por el Decreto-Ley de transposición en materia de ciberseguridad. Así, dota de detalle específico a algunas figuras y directrices establecidas por la norma.
Qué regula el Reglamento de desarrollo de la Ley NIS
Por ejemplo, define la figura del Responsable de Sistemas de Información (CISO, en inglés) dentro de cada institución. El Reglamento le otorga la función de coordinar con las autoridades competentes cuestiones de ciberseguridad, establecidas inicialmente por la Ley NIS. Este CISO es el responsable de notificar cualquier riesgo o problema existente a los CSIRT (por sus siglas en inglés, o Equipo de Respuesta a Incidentes de Seguridad, en español).
Además, el CISO será el encargado de crear políticas de ciberseguridad de la organización. En las políticas de ciberseguridad se deberán especificar las medidas a tomar para responder a incidentes que afecten a la seguridad de la red y los sistemas de información. Se recomienda aplicar el ENS (Esquema Nacional de Seguridad) u otros estándares internacionales de prestigio sobre la materia.
Asimismo, el Reglamento de la Ley NIS, instaura un sistema de certificación de cumplimiento de la Ley NIS. Esta certificación será otorgada por las autoridades encargadas tras una evaluación previa de la organización. En el caso de empresas grandes, se permite la contratación de auditorías independientes para evaluar a la organización. Se espera garantizar así la imparcialidad de las evaluaciones.
Igualmente, determina que los terceros contratados por las instituciones tendrán también que adecuarse a las nuevas directrices. Sobre todo, si dan servicios relacionados con la ciberseguridad o de redes. Una excepción al régimen obligatorio se prevé para aquellas pequeñas o microempresas que provean servicios digitales.
Esta nueva normativa se centra especialmente en los servicios considerados críticos, como salud o defensa, tanto proveídos por le sector público como el privado. Así, tal como comenta KPMG, esta nueva norma se acerca mucho a la Ley de Protección de Infraestructuras Críticas (PIC), aprobada con anterioridad.
Autor del vídeo referenciado:
