Autores: Francisco Lázaro y Alfonso López-Escobar Beares

---

Durante el mes de diciembre del 2022 el grupo de trabajo NIS2 del ISMS Forum ha trabajado reflexionando en torno a una serie de preguntas que les ha permitido evaluar expectativas que se generaron con la NIS, el grado de consecución de estas y consecuentemente, definir unas líneas de actuación para cuando lleguen los trabajos de transposición a la legislación nacional de la nueva NIS2.

¿Qué expectativas tenían los responsables de Ciberseguridad de los operadores cuando se publicó la transposición (RD 12/2018 y su reglamento RD 43/2021)?

Durante la transposición los responsables de la seguridad / ciberseguridad de la información se debatían entre dos posturas de expectativas: la pesimista, conocida la tozuda realidad, y la optimista (que, para dedicarte a esto, una gotita de optimismo siempre debes atesorar).

PESIMISTA

La pesimista, era (y es) consecuencia del contexto: hay que recordar que la protección de operadores de servicios esenciales, con carácter general, tiene su origen en la DIRECTIVA 2008/114/CE DEL CONSEJO de 8 de diciembre de 2008 sobre la identificación y designación de infraestructuras críticas europeas y la evaluación de la necesidad de mejorar su protección. Lamentablemente, esta directiva (conocida como directiva PIC) y su traslación a la legislación nacional en el 2011 ponían el foco en la seguridad física. Se pensaba en ataques terroristas a infraestructuras por medios terroristas.

En la ley de trasposición se “inventó” el concepto de seguridad integral. Para sus redactores se asumía implícitamente que la seguridad digital (o lógica para los círculos de influencia en su redacción) está subordinada a la física.

A la figura que meramente debía ser el responsable de enlace de la empresa para los temas de seguridad se le dio el nombre de Responsable de Seguridad y Enlace. El nombre es importante pues tal y como está escrito no es el de Responsable de Enlace de Seguridad, sino la persona que es Responsable de la Seguridad y además hace de enlace.

Esto dio lugar durante varios años a tratar de primar, desde la autoridad, a los responsables de seguridad física de las organizaciones sobre los responsables de seguridad lógica, generando incomodidad y desconcierto en muchos operadores.

La tozuda realidad puso de manifiesto, a lo largo del tiempo, un cambio del paradigma de los riesgos, situando a los tecnológicos, en particular las ciberamenazas entre las más significativas para los operadores, por encima de las amenazas físicas (como queda de manifiesto en los informes publicados por el Foro de Davos). En el caso de España, la necesidad de contar con expertos en esas nuevas amenazas y por tanto de un entorno cualificado de entendimiento y debate provocó que el CNPIC estableciera extraoficialmente (al no estar contemplado en la legislación) que los operadores estratégicos deberían nombrar un CISO y constituyó una Mesa Nacional de Ciberseguridad PIC, subordinada en todo momento a la mesa de los RSE.

Al cabo de los años, se publica una directiva europea (la conocida NIS) y se debe acometer la trasposición a la legislación española. En ese momento de trasposición de la Directiva, ya se había consolidado este protagonismo de la seguridad física en detrimento de la seguridad lógica, lo que junto con el argumento patrio de la seguridad integral y que los encargados del desarrollo legislativo son los mismos que realizaron la transposición de la PIC (cada uno de ellos con su interés de “foco”). Mandar un mensaje de continuismo es lo más sencillo cuando los diferentes integrantes deben defender los intereses no ya de la sociedad, ni tan siquiera de sus ministerios, sino de sus organizaciones o de los cuerpos a los que pertenecen.

Con todo este contexto, y para todos los expertos que tenían esta visión las expectativas en la trasposición de la NIS eran muy limitadas.

OPTIMISTA

El establecimiento de obligaciones comunes (aun siendo genéricas y poco exigentes) actuaría como una palanca de cambio en la cultura empresarial española en materia de ciberseguridad.

Aún conociendo y compartiendo la opinión sobre el contexto de dependencia creado para los operadores estratégicos, la inclusión en la transposición de una serie de requisitos “Made in Spain”  que no contravenían la Directiva sino que venían a reforzarla (la figura del CISO y su desarrollo) permitía albergar esperanzas.  Las empresas tendrían que cumplir el estándar de seguridad que en el texto se fijaba: análisis de riesgos, selección de controles, notificación de brechas y también un mínimo de Organización de Seguridad; un responsable de seguridad, con unas funciones, con una posición e independencia de los sistemas de información a fin de evitar conflictos de interés y con suficiente relevancia para que la alta dirección participara activamente del establecimiento del nivel de riesgo y el seguimiento de este.

Por otro lado, y en relación con aquellas entidades públicas o privadas que teniendo infraestructuras críticas se les enviaba un mensaje de empoderamiento de la ciberseguridad en un plano similar al de la seguridad física, tomando carta de naturaleza en la trasposición que tiene por alcance la Seguridad de Redes y Sistemas de Información sobre los que se asientan los servicios esenciales.

Un ejemplo de ese plano de relevancia lo indica que la autoridad competente fuera la OCC, que en el momento de redactar dependía del CNPIC y a la que posteriormente se le igualó en rango orgánico dentro de la secretaría de estado de seguridad con el CNPIC.

En particular, se luchó para que quedase recogida la figura del Responsable de Seguridad de la Información (RSI) de forma similar a la existencia del RSE (en PIC) o el DPD (en RGPD). A pesar de la redacción ambigua y desdibujada como que frente al RSE que es una persona concreta y habilitada, el CISO (RSI en la ley) puede ser una persona o una cosa (comité, por ejemplo), el resultado era un paso inédito y positivo hacia el reconocimiento de la Ciberseguridad.

En resumen: Era bueno para las empresas (o bien establecía un nivel básico alcanzable por cualquier organización en materia de ciberseguridad o bien venía a reforzar el ya existente, en aquellas empresas con mayor ciber-madurez) y muy bueno por la sociedad, en su conjunto, por el efecto SUMA (de muchas empresas dentro del alcance).

¿Qué grado de cumplimiento de las expectativas creé que se ha alcanzado?

Depende de si tu posición inicial era pesimista u optimista, en cualquier caso: Muy bajo.

Las empresas han sentido como, poco a poco, el interés del Estado más allá de las palabras se ha ido desvaneciendo; la falta de actividad de la OCC, en especial una vez igualado su rango jerárquico dentro de la secretaria de estado de interior en relación con el CNPIC o en otro orden de cosas la desactivación operativa del Foro Nacional de Seguridad, demuestran que la ciberseguridad, más allá de las palabras, ya no es un foco de atención para el Gobierno de la Nación ni para los partidos que están fuera del Gobierno. Desgraciadamente, los ciberdelincuentes y las consecuencias de cuestiones geo políticas siguen afectando intensamente a las empresas.

Pongamos algunos ejemplos. Las empresas debían, conforme al RD 12/2018, nombrar un Responsable de Seguridad de la Información; son decenas de operadores esenciales que no lo han hecho o no lo han comunicado y en la mayoría de las que si se nombró un RSI, estos siguen dependiendo del responsable de Sistemas (CIO).  Tampoco ha habido sanciones, ni prácticamente auditorías a operadores, ni la mesa de representantes de RSIs de los Operadores se había reunido en tres años (aunque para corregir esta situación recientemente la OCC convocó una nueva reunión), ni ha fluido información de calidad de amenazas, ni se han elaborado documentos específicos de seguridad, ni ….

¿Qué beneficios le ha aportado?

Escasos.

En aquellas que hayan implementado las obligaciones, encontraremos un respaldo al modelo Organizativo de empresa, donde la ciberseguridad estará en un plano,  que sino de  igualdad a otras seguridades, al menos en una posición de visibilidad. Adicionalmente, facilita la práctica de la ciberseguridad en los procesos internos de estas empresas, al invocarla en numerosas ocasiones bajo la fórmula: “la ley dice…”.

Finalmente, destacaremos el incremento de cooperación entre los responsables de seguridad de diferentes empresas, la cual, si ya se daba ya que se tenían puntos y foros de encuentros, el tener un alcance igual (los servicios esenciales) ha promovido otros nuevos canales de cooperación en relación con ese alcance y legislación. Lamentablemente, esta situación ha venido a menos en los últimos años.

¿Qué aspectos mejoraría en relación con la forma y al fondo de la aplicación de la transposición?

Deberá quedar, conforme al texto de la NIS2, recogida explícita y claramente la responsabilidad de la dirección de las organizaciones en el conocimiento de los riesgos de ciberseguridad y sus posibles consecuencias, así como la obligación de dotar los recursos necesarios y suficientes para una gestión adecuada

Es imprescindible afianzar la figura del CISO como gestor de la ciberseguridad dentro del operador, pero debe asignarse la responsabilidad y funciones a personas con nombre y apellidos, que cuenten con la suficiente experiencia y formación (esquema de certificación), y que esta sea exigida por ley.

Debe buscarse una formula abierta que compatibilice la obligación que establece la NIS2 de que un miembro del comité de dirección tenga la responsabilidad ultima de la Ciberseguridad y l figura del RSI o CISO de la actual trasposición.

También es necesario que se contemplen y concreten las obligaciones para la cadena de suministro, y la autoridad suficiente para que el operador pueda exigirlas, incluso descartando proveedores que no ofrezcan las suficientes garantías. Esto es especialmente complejo para las empresas públicas, obligadas a la libre concurrencia en los concursos. Se debería exigir que los pliegos contemplen requisitos de seguridad de la información y que se obligue a que en las ofertas se incluya (con obligación contractual), al igual que hacen otros países como Francia, un “Plan de garantía de la Seguridad de la Información”, donde el ofertante detalle cómo cumplirá los requisitos de seguridad, pudiendo ser incluso causa de exclusión.

En relación a la autoridad responsable:

• debería el texto asignar un liderazgo efectivo a la OCC;  con las capacidades necesarias como las del apoyo de profesionales expertos en ciberseguridad.
• Para ello, el CNPIC debería renunciar a considerar la ciberseguridad en un plano jerárquicamente dependiente de la Seguridad Física y de asignarse responsabilidades en Ciberseguridad cuando llegue la trasposición de la nueva directiva de infraestructuras críticas (resiliencia) . Pensemos en dos autoridades con competencias sobre los MISMOS activos de información con diferentes criterios y a una empresa que sea operadora estratégica y de servicios esenciales respondiendo a estas dos autoridades para dar el MISMO servicio; de locos (ineficaz e ineficiente).
•  Una verdadera colaboración CNPIC-OCC
• Una colaboración efectiva con otras autoridades (CCN principalmente, pues INCIBE y CNPIC ya colaborar a través del CERT para ICs de entidades privadas)
• Una verdadera colaboración entre operadores y autoridad de control (OCC).

Finalmente, las sanciones administrativas y económicas deben ser viables, concretas y deben aplicarse cuando la situación lo requiera. No es de recibo la actual dejación de funciones por ejemplo frente a las empresas que habiendo sido designadas operadores de servicios esenciales hacen oídos sordos a la obligación de nombrar un RSI; sin esa figura es imposible desarrollar una práctica de seguridad.

NOTA: con la finalidad de no distraer del enfoque del presente trabajo, no se ha querido profundizar en el anterior texto sobre la problemática del RSE y del RSI. Finalizado el texto principal y por lo relevante que es esa cuestión, queremos ahora desarrollar la problemática.

La creación de la figura del RSE por parte del CNPIC tiene en sí mismo un pecado original definido por ocho factores:

• Como ya hemos indicado, las siglas corresponden a el Responsable de Seguridad y Enlace, y su figura tiene la responsabilidad de servir de enlace, en materia de seguridad (sin apellidos) entre la autoridad competente y la entidad que opera la infraestructura crítica; por lo tanto su función es de Responsable de Enlace de Seguridad y no la de Responsable de Seguridad y Enlace .. Esta denominación que lleva normalmente aparejado a la persona que ostenta esa función a sentirse el designado por la empresa como responsable de seguridad ante la autoridad competente.
• La autoridad de control para infraestructuras críticas, CNPIC , depende de la secretaria de estado del Mº del Interior.
• Las personas habilitadas como Directores de Seguridad lo están ante el Mº del Interior.
• Los RSEs por la ley PIC deben estar habilitados como Directores de Seguridad.
• Las grandes empresas disponen de infraestructuras (edificios, plantas, etc..), antes de la PIC y de la NIS y consecuentemente ya solían contar con el puesto de responsable de seguridad física, que conforme a la ley de seguridad privada el departamento de seguridad debe tener al frente a una persona habilitado como Director de Seguridad y que por tanto, suele denominarse el cargo como lo designa la acreditación: Director de Seguridad.
• La mayoría de los Directores de Seguridad han estado adscritos como funcionarios policiales al Mº del Interior, antes de ser Directores de Seguridad (física) en sus empresas.
• El Mº el Interior una vez que designa a una entidad como Operador de Infraestructura crítica, pide por carta a la presidencia de la entidad que designe un Responsable de Seguridad y Enlace.
• La secretaría de presidencia de la entidad al ver el membrete del Ministerio del Interior y la necesidad de designar a un responsable de seguridad, lo reenviará al Director de Seguridad. Así Director de Seguridad (física) y RSE terminará siendo la misma figura.

Estos ocho factores; un nombre equivocado, una acreditación exigida, la coincidencia del nombre de la acreditación y el puesto, el pasado relacionado con el Mº del interior, el ministerio que pide se designe el RSE, hacen que en la inmensa mayoría de los casos el RSE es un profesional de la seguridad física y esto le lleva a pensar, al RSE, en la subordinación , con independencia de la Organización (de las “seguridades”) de la entidad.

Si la responsabilidad del RSE se limitara a la seguridad física no habría conflictos de interés, la cuestión es cuando por ley se quiera dar una dependencia del RSI al RSE; pues, las empresas no seguirán su criterio organizativo, sino que deberán organizarse conforme a ese criterio legislativo.

Los intereses de las empresas de seguridad privada encuentran en este escenario un campo ideal de Negocio y juntamente con Directores de Seguridad conforman un grupo de presión en el sentido ya indicado.