REDSEGURIDAD 083

especial En el caso del recientemente aproba- do Real Decreto-Ley sobre seguridad de las redes y sistemas de la informa- ción, en España las infracciones se dividen en tres categorías: leves, graves y muy graves. A continuación, enumera cada una de ellas y establece tres tipos de sanciones: hasta 100.000 euros para las leves; de 101.000 a 500.000 euros para las graves; y de 501.000 a un millón de euros para las muy graves. Esta parte generó algunas dudas entre los asistentes, como cuanto Benito, de GMV, apuntó: "A mi jui- cio, creo que el régimen sancionador no va a resultar efectivo, porque no motiva a las empresas más allá de lo que ya están haciendo por su propia profesionalidad". Por eso, sugirió una opción que ya se está aplicando en otros países como Estados Unidos: "Propusimos en su día que se pudiera eliminar toda o parte de la sanción a cambio de que ese dinero se invirtiera en el propio presupuesto de seguridad de la empresa infractora. En otras pala- bras, que se obligue al infractor a refor- zar su seguridad y prevenir que ocurran futuros incidentes". Se trata de un planteamiento con el que también estuvieron de acuerdo el resto de asistentes. Como García, de Check Point, quien señaló que "las sanciones tienen que ser adecuadas, en el sentido de conseguir el efecto que buscan. En este caso, no parece que vayan a hacer eso. No solo deben ser suficientes para hacerte reaccionar Los participantes opinaron sobre la nueva Ley que transpone la Directiva NIS al ordenamiento jurídico español. El sentimiento general fue que el texto final ha ido en línea con lo que se esperaba de él y no ha supuesto muchas sorpresas. y que cumplas con lo que debes, sino que también han de ser justas y pro- porcionadas". Por eso, los presentes se mostra- ron expectantes a la espera de cómo el reglamento abordará la parte del régimen sancionador y algunos otros temas que les preocupan, como de qué forma se van a coordinar los dis- tintos organismos para establecer las infracciones, cómo se van a fijar las multas o qué procedimiento se va a seguir al sancionar. El papel del CISO Seguidamente, y relacionado con lo anterior, se abordó el papel que debe tener el CISO en las compañías estra- tégicas, especialmente cuando puede haber sanciones de por medio. A juicio de Benito, de GMV, este profesional "debería estar en el consejo de admi- nistración de las empresas, a la altura del resto de directivos de la organiza- ción". Una afirmación que ratificaron el resto de asistentes, si bien recono- cieron que una cosa es la teoría y otra la realidad. García, de Check Point, señaló: "A muchas empresas se les ha designado infraestructura estratégica, y no tenían ni idea de temas de ciber- seguridad, por lo que han tenido que aprender sobre la marcha". No en vano, como apuntó Gallego, de la Estación Sur de Autobuses de Madrid, "no todas las organizaciones tienen departamento de seguridad o director de seguridad al frente". Por Miguel Ángel Gallego Responsable de Seguridad de la Estación Sur de Autobuses de Madrid "Sin duda, la ventanilla única para comunicar incidentes agilizaría los trámites; pero tiene que haber una coordinación detrás entre todos los organismos que participen" sevicios esenciales sobre la mesa 10 red seguridad cuarto trimestre 2018 Patrocinado por: