Red Seguridad 103

52 red seguridad cuarto trimestre 2023 monográfico servicios esenciales Rafael Hernández CISO - responsable Ciberseguridad de Grupo Cepsa Ramón Ortiz Responsable de Seguridad del Grupo Audiovisual Mediaset España "Las políticas de riesgos, la resiliencia y la evaluación de su eficacia deberán quedar claramente definidas" "La trasposición deberá especificar los mecanismos de la Administración para velar por su cumplimiento" Hay dos aspectos muy importantes para mí que deberían quedar bien definidos y sin dudas para su aplicación. Uno es el impacto en la responsabilidad de la alta dirección en la gestión de los riesgos de la ciberseguridad; y no solo por la amenaza de las sanciones (que ayudarán), sino por el hecho de tener que oírlas y entenderlas. Este asunto les preocupa cada vez más y es uno de los mayores vectores de comunicación con la alta dirección. Temas como las políticas de riesgos, la resiliencia de la organización y la evaluación de su eficacia deberán quedar claramente de- finidas. Otro aspecto muy importante es cómo va a quedar re- gulada la gestión de la cadena de suministro y las terce- ras partes. Todo lo referente a la gestión de incidentes, los controles en la cadena de suministro y la ciberseguridad desde el diseño serán temas que tendrán que ser muy bien explicados. También creo que es muy importante dejar muy claras las certificaciones que deben garantizar que esto se lleve a buen puerto. En mi opinión, sin la certificación de los con- troles no avanzaremos. Yo soy partidario de las certificacio- nes de amplio espectro y de sentido internacional. En mi opinión, contiene varios aspectos de máxima relevancia con la pretensión de aunar una normativa que garantice un ele- vado nivel de ciberseguridad en todos los países de la Unión a través de exigencias mínimas comunes, así como por medio de unas bases de cooperación entre los Estados de dicho territorio. Otro de los aspectos a destacar es la exhaustiva definición de las medidas y controles para la gestión efectiva de los riesgos de ciberseguridad que los Estados deberán exigir a las empre- sas y entidades concernidas con la nueva norma. Por otro lado, especifica que las medidas serán técnicas, ope- rativas y de gestión, y que estarán basadas en análisis de ries- gos. La norma hace una enumeración bastante precisa de los aspectos más relevantes de la gestión y la práctica de la ciberse- guridad y se recalca que cada Estado miembro deberá velar por la implantación eficaz y la observancia de los controles descritos. La trasposición tiene por delante la definición de un marco de alineación de las medidas exigibles que facilite el cumplimiento a las empresas y su comprobación al regulador. Y deberá espe- cificar los mecanismos de los que se va a dotar la Administra- ción para el desafío de hacer velar su cumplimiento. En cuanto a la gobernanza, es preciso establecer directrices que den a las empresas flexibilidad para garantizar su cumplimiento.