Log in
Log in

DORA, CIR y NIS. La Ley impone la figura directiva del Responsable de Seguridad de la Información

By Fernando MateusIn Artículos, Ciberriesgo de Empleados, Ciberseguridad, Dirección EstratégicaPosted
Kymatio DORA CIS NIS
Photo by Tima Miroshnichenko from Pexels
 

En el BOE (España) el RD 43/2021, se desarrola la llamada “Ley NIS” de seguridad de las redes y sistemas de información.

Su aplicación tiene alto impacto en las organizaciones y las empresas afectadas

Para explicar la importancia de la normativa, ISACA Madrid celebró un webinar con la presencia de 1.600 inscritos y la colaboración de Derecho de la Red, la ASCOM (Asociación Española de Compliance), el Arco Atlántico de Ciberseguridad en el Entorno Digital (ACED), CyberMadrid, ENATIC (Abogacía Digital), el apoyo institucional del Centro Criptológico Nacional (CCN) y de la Fiscalía de la Sala de Criminología Informática.

La ley señala que la ciberseguridad en las empresas es una necesidad, un acto de responsabilidad y, a partir de ahora, una obligación que acarrea la imposición de la figura del Responsable de Seguridad.

“La ciberseguridad en las empresas es una necesidad, un acto de responsabilidad y, a partir de ahora, una obligación que acarrea la imposición de la figura del Responsable de Seguridad”

La ley NIS incide en las predicciones que lanzaba Gartner en las que predice que el 40% de los consejos de administración tendrán un comité de ciberseguridad dedicado para el año 2025Actualmente solo el 10% de las organizaciones lo tienen según la empresa de investigación y asesoría. 

Según la Encuesta de la Junta Directiva de Gartner el riesgo relacionado con la ciberseguridad está clasificado como la segunda fuente de riesgo más alta para la empresa, después del riesgo de cumplimiento normativo. Sin embargo, relativamente pocos directores se sienten seguros de que su empresa está debidamente protegida contra un ciberataque.

“Los CISO efectivos se dan cuenta de que los jefes de ventas, marketing y líderes de unidades de negocios son ahora socios clave en el uso de la tecnología y, posteriormente, que la incursión de riesgos ocurre fuera de TI;”
Sam Olyaei Director de investigación de Gartner
“Para garantizar que el riesgo cibernético reciba la atención que merece, muchas juntas directivas están formando comités dedicados que permiten la discusión de asuntos de seguridad cibernética en un entorno confidencial, liderados por alguien que se considera adecuadamente calificado”, dijo Sam Olyaei, director de investigación de Gartner. «Con toda probabilidad este cambio en la gobernanza y la supervisión afecte la relación entre la junta y el director de seguridad de la información (CISO)«. Gartner también predice que para 2024, el 60% de los CISO establecerán asociaciones críticas con ejecutivos clave en ventas, finanzas y marketing, en comparación con menos del 20% actual. “Los CISO efectivos se dan cuenta de que los jefes de ventas, marketing y líderes de unidades de negocios son ahora socios clave en el uso de la tecnología y, posteriormente, que la incursión de riesgos ocurre fuera de TI”, indica Sam Olyaei. Gartner predice que para 2025, el 50% de las organizaciones intensivas en activos convergerán sus equipos de seguridad cibernética, física y de la cadena de suministro bajo un rol de director de seguridad que informa directamente al CEO. Por último, destacar las dos iniciativas dentro de la nueva estrategia de la UE que son la propuesta de la Comisión del Reglamento para la resiliencia operativa digital del sector financiero (Digital OperationalResilienceAct, DORA) y la propuesta de Directiva sobre resiliencia de las infraestructuras críticas (CIR). La nueva directiva amplía su alcance añadiendo nuevos sectores en función de su importancia para la economía y la sociedad. Otra novedad importante es el nuevo marco de sanciones que incluye, ya que indica que la no aplicación de medidas de seguridad pueden tener consecuencias negativas para la ciberresiliencia de las entidades y, por tanto, se debe establecer una lista mínima de sanciones administrativas por incumplimiento de las obligaciones de información y gestión de riesgos de ciberseguridad que sea común en todos los Estados miembros. En la misma línea está disponible en CyberSecurity news la siguiente lectura “Las empresas que incumplan la nueva normativa de ciberseguridad europea pueden tener consecuencias inasumibles

Fuentes y más información:

BOE:

Elderecho.com:

Gartner

Cybersecuritynews

Prepara a tu personal frente a ciberataques. ¡Reserva una sesión con los expertos!

Información de interés relacionada:

La nueva IA de Kymatio prepara de forma totalmente personalizada a los empleados frente a los ataques de Ingeniería Social

Kymatio News AI against Social Engineering

Información de interés relacionada:

Kymatio lanza un módulo que trabaja sobre los riesgos de exposición digital de los empleados

El riesgo asociado a la explosión digital

Descubre como te ayuda Kymatio a cumplir con las diferentes normativas y requisitos de cumplimiento de diferentes estándares.

¿Quieres proteger a tus empleados?
Contáctanos ahora y te explicamos lo sencillo que es con Kymatio.
Fernando Mateus

Fernando Mateus

https://www.linkedin.com/in/mateus/

Related Posts

Deepfakes, el futuro de las amenazas ya está aquí.
Kymatio® cualificado por el CCN (Centro Criptológico Nacional) para su inclusión en el catálogo de productos y servicios CPSTIC.  
Kymatio indispensable en el enfoque de ABANCA frente al ciberriesgo humano y la concienciación de empleados: «Un indicador para gobernarlos a todos»
Redeia y Kymatio refuerzan el compromiso con la protección y concienciación de las personas