Confilegal recoge la opinión de Alonso Hurtado, socio de ECIJA.
En el BOE del pasado 28 de enero se publica RD 43/2021, que desarrolla el Reglamento de Desarrollo del RD de Transposición 12/2018 que trasponía la Directiva NIS del 2016 en nuestro país. Esta nueva norma obliga, por ejemplo, a los operadores de servicios esenciales a garantizar que el responsable de Seguridad de Información (RSI) dispone de medios y recursos suficientes para poder desarrollar sus funciones de manera real y eficaz.
Por su parte Alonso Hurtado destacó que la figura del CISO o RSI y su posible externalización total fuera de la organización. “De la lectura de este RD Ley parece que no es la idea, sino que hay que designar un profesional, sin perjuicio que tenga una empresa que tenga un apoyo externo”.
Desde su punto de vista “esta forma de trabajar recuerda al papel del compliance officer en muchas organizaciones que luego tienen externalizado un asesoramiento continuado. Y es que el paralelismo entre estos expertos parece claro. Parece que este es el modelo ideal que se impone en las empresas”.
Otra cuestión que señalo es que esta normativa viene a introducir una obligación o conjunto de obligaciones adicionales “eso hará que los compliance officer dentro de los modelos de cumplimiento que gestionan incorporen elementos tecnológicos, el llamado IT Compliance. Ahora la ciberseguridad forma parte clara de cualquier actividad de compliance”.
En este contexto parece claro que los responsables de cumplimiento de las organizaciones “tendrán que actualizar sus conocimientos en materia de ciberseguridad suficientes para poder atender y gestionar el cumplimiento de la normativa. No deja de ser otra más que hay que cumplir, al igual que RGPD en materia de privacidad”.
Este experto reconoce que “salvo en las grandes corporaciones todo lo que tiene que ver con ciberseguridad está muy diluido y poco estructurado. No existen realmente un listado de controles en materia de ciberseguridad a nivel general. Esto cae en manos del área de tecnología pero realmente debe depender del compliance officer para monitorizar que se cumpla dicha normativa realmente”.
Hurtado recordó que “la norma ha llegado en un momento económico que no es el más adecuado, en plena crisis económica donde habrá que ver si las empresas tienen disponibilidad presupuestaria para afrontar este reto cibernético que incluye un régimen sancionador importante en caso de incumplimiento que antes no existía”.
Hurtado considera que la empresa tendrá que acreditar la diligencia debida. Las certificaciones no te evitan la responsabilidad, pero ayudan a demostrar conocimiento y experiencia acreditados por un tercero.
