A finales de enero entró en vigor la “Ley NIS” de seguridad de las redes y sistemas de información, norma que se esperaba con expectación porque supone un antes y un después en cuanto a la regulación de la ciberseguridad. Y una de las principales novedades que trae es la exigencia para empresas y administraciones de contar con un Responsable de Seguridad de la Información (RSI), que supondrá un refuerzo de las funciones y responsabilidades del CISO.
La normativa NIS viene a completar y mejorar el Real Decreto Ley de trasposición que ya existía cuando se publicó en 2016 una normativa europea al respecto. El objetivo de la Comisión Europea con esa norma era reforzar la seguridad de sectores económicos clave para el funcionamiento de los países miembros.
Todo como consecuencia del aumento progresivo de la ciberdelincuencia en un mundo cada vez más interconectado y en el que las empresas operan a nivel transnacional. La información y los datos online se han convertido en los últimos años en grandes activos para cualquier negocio y protegerlos debe ser una cuestión prioritaria.
Hoy ya todos sabemos que los ataques cibernéticos han aumentado desde el inicio de la pandemia, y un fallo grave en los sistemas de seguridad y redes de organismos o empresas pueden provocar graves perjuicios a nivel global.
Por este motivo, la nueva norma afecta directamente a grandes empresas que gestionen recursos, como agua o energía, empresas financieras, Administración pública, sectores de la alimentación y salud, siendo obligatorio también aplicarla a operadores implicados en Defensa Nacional.
¿Cuál es el perfil del Responsable de Seguridad de la Información (RSI)?
El Responsable de Seguridad de la Información (RSI) tendrá las competencias para elaborar y supervisar las políticas de seguridad y las medidas técnicas y organizativas que se deben implantar en la empresa.
Además, coordinará los temas de ciberseguridad con las autoridades competentes en la materia, siendo el único contacto con ellas.
La ley también contempla que el perfil del RSI no debe ser necesariamente técnico, pero sí tener los conocimientos suficientes para saber cómo establecer y gestionar los controles que se deben aplicar, y tener capacidad de interlocución ejecutiva. Del mismo modo, según la norma, no es necesario que sea especialista en análisis de vulnerabilidades pero, lógicamente, debe contar con unos conocimientos mínimos en ciberseguridad.
En grandes organizaciones puede haber un equipo con una visión global, pero la ley exige que exista este único y último responsable ante un incidente, asumiendo las posibles consecuencias legales derivadas de la toma de alguna decisión por su parte.
Por su parte, los operadores de servicios esenciales tienen que garantizar que el RSI cuenta con los medios y recursos suficientes para poder desarrollar sus funciones de manera real y de forma eficaz, recogiéndose en la ley las labores de apoyo y la opción de externalizar este servicio.
Y como todo responsable en ciberseguridad, una de sus funciones debería ser la concienciación. Que todos los empleados de una empresa conozcan los riesgos que existen, su papel en materia de ciberseguridad y cómo pueden contribuir a proteger la información de la empresa y clientes es una de las claves para evitar posibles ciberataques, ya que el factor humano es una de las principales causas de los mismos, aún más en estos tiempos de teletrabajo.
Algunos aspectos fundamentales de la nueva ley:
- Tendrá impacto en todas las empresas dependiendo de su nivel de madurez en materia de ciberseguridad.
- Se verán implicadas operadores de infraestructuras críticas, operadores de servicios esenciales y proveedores de servicios digitales. También las pymes, porque necesitan hacer frente a riesgos de ciberseguridad, como el ransomware o porque son terceros proveedores.
Supone un empujón definitivo a los servicios de seguridad de la información y un reconocimiento a la importancia de la ciberseguridad.
Si te interesa la ciberseguridad… ¡Descubre Aiwin Firewall! 👇