La Directiva NIS2 va a redefinir las obligaciones de ciberseguridad en toda Europa, exigiendo a las empresas controles más estrictos tanto en los entornos internos como a lo largo de toda la cadena de suministro tecnológica. Además, eleva las responsabilidades en los incumplimientos en materia de ciberseguridad a la alta dirección, que puede llegar a ser considerada como responsable directa de los mismos. A pesar de ello, los responsables tecnológicos de las Administraciones públicas no creen que su entrada en vigor vaya a suponer un cambio cualitativo relevante en el día a día de sus operaciones ya que, recuerdan, muchos cumplen ya con el Esquema Nacional de Ciberseguridad, ya bastante exigente para las entidades. Sí creen, no obstante, que su implantación será un cambio positivo para lograr una mayor concienciación e implicación de la alta dirección en lo que realmente quita el sueño a los CISO y a los encargados de la seguridad: los ataques informáticos y el creciente número de intrusiones que sufren este tipo de organizaciones.
Estas fueron algunas de las principales conclusiones que arrojó el encuentro ‘NIS2: seguridad en la cadena de suministro y puesto de trabajo en la era normativa’, organizado por la cabecera CIO ESPAÑA con la colaboración de HP y que tuvo lugar el pasado 12 de noviembre en Madrid. Allí, responsables tecnológicos de distintas administraciones, moderados por Fernando Muñoz, director de la comunidad CIO Executive de Foundry, expusieron sus opiniones sobre los retos que plantea esta nueva normativa: cumplir las obligaciones reglamentarias sin perder por ello agilidad y seguridad en su cadena de suministro y en su entorno de trabajo digital.
Carlos Maza, director de Digitalización y Tecnologías de la Información del Tribunal de Cuentas, aseguró que la normativa NIS2 es “una vuelta de tuerca” al Esquema Nacional de Seguridad, “un nivel de seguridad adicional que es cumplible” por la Administración pública. Apuntó, no obstante, un reto para su implantación. “El sector público — explicó— funciona con una Ley de Contratos específica, y la seguridad de la cadena de suministro es un tema condicionado a la normativa de contratación. Habría que armonizar la NIS2 y la Ley de Contratos”. En este punto coincidieron todos los asistentes el debate. Para Ángel Luis Sánchez, director general de Salud Digital de la Comunidad de Madrid, la seguridad de la cadena de suministro “tendría que venir medianamente resuelta por la Ley de Contrataciones del Estado”.
Alejandro Curto, especialista en venta de software de HP, aportó la visión desde la empresa privada. “La Ley de Contratos tendrá que cambiar para que no choque con la NIS2, porque si una empresa o una organización empieza a exigir seguridad completa a su cadena de suministro se puede quedar sin proveedores”. “Es un equilibrio muy difícil, ¿qué pueden hacer las organizaciones para no quedarse sin proveedores?”, se preguntó.
Para su compañera Noemi Pineda, directora de ventas del sector público de la compañía norteamericana, esta normativa propiciará una oportunidad de colaboración entre empresas privadas y administraciones públicas que vaya “más allá de cumplir la papeleta” y permita a las primeras ayudar a la administración en el cumplimiento de sus tareas.
Noemí Pineda (HP).
Garpress.
Implicación de la alta dirección
Otro de los temas abordados durante el almuerzo-debate fue la implicación de la alta dirección en temas de ciberseguridad. Javier Atance, responsable de la división informática del Fondo Español de Garantía Agraria, resaltó que el factor clave de la NIS2 es que puede reforzar el apoyo de las altas esferas de las organizaciones. En este sentido, recordó que la Administración pública no se mueve por los beneficios ni por los intereses de los inversores, sino por la imagen que transmite, algo que, además, puede cambiar cada cuatro años. “Pero la seguridad informática es una prioridad. No se puede hacer un planteamiento estratégico sin tomarla en cuenta”, aseveró.
En este aspecto coincidió con Ángel Luis Sánchez, quien subrayó que la seguridad “tiene que funcionar a pesar de los políticos”. Para el CTO de Salud Digital de la Comunidad de Madrid, lo más importante para el correcto funcionamiento de su servicio es la disponibilidad, seguida, en este orden, por el rendimiento y de la seguridad. “Los sistemas informáticos son el sustento de la asistencia sanitaria. Si se paran, los médicos no pueden trabajar, por lo que la disponibilidad es siempre prioritaria. Lo segundo es el rendimiento. Los datos y las imágenes tienen que volar para que los médicos puedan dar un buen servicio. Y ya lo tercero es la seguridad”, aseveró.
Tomás Gómez, CISO del gobierno de La Rioja, se preguntó también si todas las administraciones públicas deberían estar sometidas al mismo nivel de exigencia en cuestiones de ciberseguridad. “Desde luego la gestión sanitaria, sí”, enfatizó. La nueva normativa, dijo, supone un reto organizativo en el sentido de concienciación. “El nivel político está en otras cosas. Su obligación es ganar elecciones. Nosotros tenemos que hacerles aterrizar porque el incumplimiento de la seguridad informática puede acabar acarreando responsabilidades penales”. “A nosotros nos preocupa muchísimo todo lo que tiene que ver con la cadena de suministro, y por ello trabajamos en la protección de la identidad, los dispositivos y la cadena de suministro. La NIS2 nos echará un mano con ello”, agregó.
Luis Samper, CISO de la Casa de Su Majestad El Rey, coincidió en valorar positivamente una normativa que “puede hacer que se tome más en serio la ciberseguridad por la Alta Dirección” e insistió en la necesidad de cambiar el reglamento de contratación en la Administración pública. “Hace falta una cualificación que no se exige y que no existe para trabajar en ciberseguridad. La acreditación de competencias debería ser similar a otras exigencias como estar al corriente de pagos en Hacienda o Seguridad Social”, dijo.
Garpress.
¿Quién es el responsable en caso de un incidente cibernético?
El debate continuó con algunas cuestiones derivadas de la futura implantación de la Directiva NIS2, cómo identificar quién sería el responsable final en caso de un incidente cibernético. La mayoría de los asistentes descartaron que vaya a ser el responsable político de la administración, pero mientras unos se decantaban por el CISO, otros lo hacían por el CIO y otros por un órgano de responsabilidad colegiada.
En suma, una jornada que reveló una escasa preocupación por los aspectos técnicos de la norma ya que, tal como recordó Tomás Gómez, una administración que cumpla con el Esquema Nacional de Seguridad ya cumple el 90% de los requisitos exigidos por la NIS2. En el ánimo de los responsables tecnológicos pesa más la necesidad de cambiar la Ley de Contratos para encontrar el talento oportuno y la oportunidad de lograr, gracias a esta normativa, un apoyo mayor desde la alta dirección de sus organizaciones.
Read More from This Article: ¿Supone un cambio drástico la NIS2 en las Administraciones públicas?
Source: News