DORA, CIR y NIS. La Ley impone la figura directiva del Responsable de Seguridad de la Información

Kymatio_Ciber_leyNIS
 

En enero se publicó en el BOE (España) el RD 43/2021, por el que se desarrolla la llamada “Ley NIS” de seguridad de las redes y sistemas de información.

Su aplicación va a tener un alto impacto en las organizaciones y las empresas afectadas

Para explicar la importancia de la nueva normativa, ISACA Madrid y aesYc, celebraron un webinar con la presencia de 1600 inscritos y la colaboración de Derecho de la Red, la ASCOM (Asociación Española de Compliance), el Arco Atlántico de Ciberseguridad en el Entorno Digital (ACED), CyberMadrid, ENATIC (Abogacía Digital), el apoyo institucional del Centro Criptológico Nacional (CCN) y de la Fiscalía de la Sala de Criminología Informática.

La ley señala que la ciberseguridad en las empresas es una necesidad, un acto de responsabilidad y, a partir de ahora, una obligación que acarrea la imposición de la figura del Responsable de Seguridad.

“La ciberseguridad en las empresas es una necesidad, un acto de responsabilidad y, a partir de ahora, una obligación que acarrea la imposición de la figura del Responsable de Seguridad”

La ley NIS incide en las predicciones que lanzaba Gartner en enero del 2021 en las que predice que el 40% de los consejos de administración tendrán un comité de ciberseguridad dedicado para el año 2025Actualmente solo el 10% de las organizaciones lo tienen según la empresa de investigación y asesoría. 

Según la Encuesta de la Junta Directiva de Gartner 2020  el riesgo relacionado con la ciberseguridad está clasificado como la segunda fuente de riesgo más alta para la empresa, después del riesgo de cumplimiento normativo. Sin embargo, relativamente pocos directores se sienten seguros de que su empresa está debidamente protegida contra un ciberataque.

“Los CISO efectivos se dan cuenta de que los jefes de ventas, marketing y líderes de unidades de negocios son ahora socios clave en el uso de la tecnología y, posteriormente, que la incursión de riesgos ocurre fuera de TI;”
“Para garantizar que el riesgo cibernético reciba la atención que merece, muchas juntas directivas están formando comités dedicados que permiten la discusión de asuntos de seguridad cibernética en un entorno confidencial, liderados por alguien que se considera adecuadamente calificado”, dijo Sam Olyaei, director de investigación de Gartner. «Con toda probabilidad este cambio en la gobernanza y la supervisión afecte la relación entre la junta y el director de seguridad de la información (CISO)«. Gartner también predice que para 2024, el 60% de los CISO establecerán asociaciones críticas con ejecutivos clave en ventas, finanzas y marketing, en comparación con menos del 20% actual. “Los CISO efectivos se dan cuenta de que los jefes de ventas, marketing y líderes de unidades de negocios son ahora socios clave en el uso de la tecnología y, posteriormente, que la incursión de riesgos ocurre fuera de TI”, indica Sam Olyaei. Gartner predice que para 2025, el 50% de las organizaciones intensivas en activos convergerán sus equipos de seguridad cibernética, física y de la cadena de suministro bajo un rol de director de seguridad que informa directamente al CEO. Por último, destacar las dos iniciativas dentro de la nueva estrategia de la UE que son la propuesta de la Comisión del Reglamento para la resiliencia operativa digital del sector financiero (Digital OperationalResilienceAct, DORA) y la propuesta de Directiva sobre resiliencia de las infraestructuras críticas (CIR). La nueva directiva amplía su alcance añadiendo nuevos sectores en función de su importancia para la economía y la sociedad. Otra novedad importante es el nuevo marco de sanciones que incluye, ya que indica que la no aplicación de medidas de seguridad pueden tener consecuencias negativas para la ciberresiliencia de las entidades y, por tanto, se debe establecer una lista mínima de sanciones administrativas por incumplimiento de las obligaciones de información y gestión de riesgos de ciberseguridad que sea común en todos los Estados miembros. En la misma línea está disponible en CyberSecurity news la siguiente lectura “Las empresas que incumplan la nueva normativa de ciberseguridad europea pueden tener consecuencias inasumibles