El CISO después del RD 43/2021

Acaba de publicarse el RD 43/2021 que desarrolla aún más la Directiva UE 2016/1148, conocida como Directiva NIS (Network and Information Systems), afecta de lleno a los operadores críticos o esenciales (ver texto legal) en el ámbito de la ciberseguridad e introduce varias novedades relevantes.

¿Qué aportaciones trae consigo?

De entre las más relevantes destacan:

• Declara un nuevo marco de relaciones institucionales con la Administración.
• Introduce la clara supervisión de la Administración y con capacidad sancionadora.
• La obligación de notificación de incidentes.
• Establece un claro escenario de la gobernanza de la seguridad que potencia el papel del CISO.
• Mayores exigencias técnicas y organizativas según el nivel de criticidad de la organización.
• Se constituye como una estupenda palanca para dar a concienciar de la importancia real que debe tener el área de la ciberseguridad en la organización.

¿En qué afecta al CISO?

• Cambio del estatus de la ciberseguridad y del CISO en las organizaciones.
• Aumenta su independencia de IT y el nivel de interlocución interno (alta dirección yo consejo de administración).
• Mayor responsabilidad, entre otras cosas porque firma la Declaración de Aplicabilidad (*) y se postula como el contacto con la Administración.
• Debe realizar un mayor control a sus proveedores, especialmente a los críticos.
• Notificar de forma obligada los incidentes técnicos y hechos delictivos, lo que le va a obliga a tener mayores conocimientos jurídicos.

Control del Cumplimiento

La ciberseguridad, como cualquier otra actividad, ahora también entra de pleno derecho en el ámbito del cumplimiento de forma independiente a IT, por ser además objeto de inspección y sanción, por lo que pasa ser un item más en el esquema del control de cumplimiento de la organización.  

El refuerzo de la cultura de cumplimiento debe ser un claro objetivo de las organizaciones, así como considerar la ciberseguridad como una inversión y no despreciar el posible daño a la imagen corporativa de un incidente e incluso que nos invalide como proveedor, son cuestiones muy a tener en cuenta.

Para ello disponemos de soluciones de control del cumplimiento, que aplicada a ésta y otras normas, nos facilitará la tarea de detección y corrección de las desviaciones que se detecten en nuestro esquema de cumplimiento.

Y no te confundas, la ciberseguridad no es solo una obligación legal para muchas organizaciones, sino la forma más efectiva de prevenir daños y garantizar tu propia supervivencia en el mundo digital en el que ahora nos desenvolvemos (**). 

¿Ya has aplicado la transformación digital al Área de Cumplimiento? ¿Te ayudamos?

* La Declaración de Aplicabilidad es un documento que recoge el compromiso de la organización con la Administración, firmado por el CISO, donde se describen las políticas implementadas o por implementar en el ámbito de la ciberseguridad, y  que serán objeto de supervisión.

** Si tu canal de ventas prioritario es el comercio electrónico a través de Amazon, por poner un ejemplo, y Amazon cae, mientras dure la caída, te quedas sin ventas y sin poder organizar las entregas de los pedidos pendientes. Seguro que ya estas pensando en otros escenarios que para ti serían dolorosos.

PD: Antes de publicar este artículo he leído esta noticia en el periódico 20 Minutos (11/02/2021) que me ha puesto los pelos de punta "Ciberataque a una planta de tratamiento de agua: intentaron subir los químicos a niveles 'extremadamente peligrosos'".