Red Seguridad 094

26 red seguridad tercer trimestre 2021 servicios esenciales monográfico Alfonso López-Escobar Jefe de Seguridad de la Información de EMASESA Sergio Cano Martín Responsable del Servicio de Ciberseguridad de Ferrocarrils de la Generalitat Valenciana “Sería preciso armonizar las legislaciones en materia de protección de infraestructuras críticas y servicios esenciales” “Las directivas en desarrollo deberían plantear un marco de referencia claro sobre el que trabajar” Más que sobre contenidos, hay un par de avances concep- tuales que creo necesarios. Por una parte, hablamos de la nueva NIS2 cuando todavía no está asentada la NIS. Esto evidencia que la regulación va a rebufo de los cambios tecnológicos y sociales. Es preciso un mayor esfuerzo para desarrollar la nueva normativa con suficiente visión como para que perdure razonablemente. La colaboración público- privada puede ser un factor determinante para ello. A este respecto, y en relación con los contenidos concre- tos, habrá que tener en cuenta aspectos tan fundamentales como la adopción de la nube o la atribución de responsa- bilidades y obligaciones a la cadena de suministro, ya sea directamente o habilitando mecanismos legales para que los operadores, sobre todo los públicos, podamos exigirlo. Por otra parte, sería preciso armonizar y unificar las di- ferentes legislaciones en materia de protección de infraes- tructuras críticas y servicios esenciales. ¿Tiene sentido esta dicotomía? Se tratan de diferentes leyes con un mismo ob- jetivo. Este panorama regulatorio tan disperso complica la gestión a los operadores y, en mi percepción, también a las autoridades. La publicación de la Directiva NIS y su transposición al or- denamiento jurídico nacional han supuesto un gran impulso para la ciberseguridad. Es un hecho innegable. No obstante, a la hora de acometer su implementación nos encontramos, en múltiples ocasiones, con que no hay una forma clara de abordar los diferentes requerimientos legales. Las directivas en desarrollo deberían plantear un marco de referencia cla- ro sobre el que trabajar y una serie de medidas concretas a implementar de forma similar a las tablas de verificación de cumplimiento del Esquema Nacional de Seguridad. Además, a pesar de que los sectores de aplicación de las directivas son muy diversos, la definición de metodologías de análisis de riesgo comunes o el planteamiento de una serie de requisitos mínimos en lo que respecta a los diferentes pla- nes de continuidad, por poner un par de ejemplos, ayudarían en gran medida en la implementación de los cambios nece- sarios. Por último, sería interesante que se abordase la problemáti- ca existente con los servicios en cloud y la dificultad existente a la hora de identificar de forma ágil las brechas de seguridad que pudiesen surgir en infraestructuras de terceros.