1 53 Table of Contents 55 188

seguritecnia 447

54 SEGURITECNIA Noviembre 2017 Protección de Infraestructuras Críticas y Estratégicas 10º ANIVERSARIO DEL CNPIC Para terminar, es importante indicar que los trabajos de transposición de la Directiva NIS, aún en desarrollo, han per- mitido a los diferentes organismos par- ticipantes (4) alcanzar un punto de en- cuentro que ha servido para clarificar los roles de cada uno de ellos, potenciando la coordinación y colaboración entre to- dos y facilitando a los destinatarios de la norma el cumplimiento de sus obliga- ciones, cuestiones que, estoy seguro, se verán bien reflejadas en la nueva ley de transposición. Referencias (1) En la Policía Nacional, la Jefatura Cen- tral de Información, Investigación y Ci- berdelincuencia, y en la Guardia Civil, el Mando de Información, Investigación y Ciberdelincuencia. (2) El art. 19 del Real Decreto 704/2011, de 20 de mayo, por el que se aprueba el Re- glamento de protección de las infraes- tructuras críticas, establece que “los Pla- nes Estratégicos Sectoriales son los ins- trumentos de estudio y planificación con alcance en todo el territorio nacional que permitirán conocer, en cada uno de los sectores contemplados en el anexo de la Ley 8/2011, de 28 de abril, cuáles son los servicios esenciales proporcionados a la sociedad, el funcionamiento general de estos, las vulnerabilidades del sistema, las consecuencias potenciales de su inactivi- dad y las medidas estratégicas necesarias para sumantenimiento”. (3) El sistema PIC no tiene un régimen san- cionador propio, aunque, en caso de in- cumplimiento, sean aplicables otras vías de sanción como la responsabilidad ci- vil derivada del incumplimiento norma- tivo, la aplicación del régimen sanciona- dor de la Ley de Seguridad Privada por incumplimiento de la adopción de me- didas organizativas o la aplicación de las normas sectoriales sancionadoras, en su caso. (4) La Secretaría de Estado de Telecomuni- caciones y para la Sociedad de la Infor- mación, el Departamento de Seguridad Nacional, el CCN-CERT y el Centro Nacio- nal de Protección de Infraestructuras y Ci- berseguridad (CNPIC). S las funciones de los responsables de Seguridad y Enlace. Esto parece obvio en sectores estratégicos donde la se- guridad está consolidada, pero es ne- cesario en otros en los que la seguri- dad, en el mejor de los casos, ha sido un aspecto secundario. Externalizar la certificación del cumpli- miento de los PPE a través de entidades previamente acreditadas para generar confianza en el entorno del operador y, a la vez, cumplir con las exigencias de seguridad de la Ley PIC. Desarrollar la legalidad de las consul- tas a base de datos de carácter perso- nal que los operadores puedan hacer en orden a verificar, desde el punto de vista de la seguridad, la idoneidad de las personas que entren en sus infraes- tructuras críticas. En este sentido, y teniendo en cuenta los principios de responsabilidad com- partida y confianza mutua que impe- ran en el Sistema PIC, además de la vía del artículo 14.3, 36.1 i) de la Ley 5/2014, de 4 de abril, de Seguridad Privada, y respetando la reserva profesional es- tricta exigida por el artículo 30 de la ci- tada norma, el operador crítico podría solicitar a las Fuerzas y Cuerpos de Se- guridad información relativa a su per- sonal laboral, a las personas que se en- cuentren en proceso de contratación, a los proveedores de servicios que ten- gan acceso a alguna de sus infraestruc- turas críticas y a los visitantes que vayan a acceder a sistemas, áreas o informa- ción de especial relevancia para la se- guridad de las infraestructuras críticas o la del propio operador. Las llamadas insider threats son un pro- blema que preocupa a nivel europeo, por lo que se ha creado un grupo de tra- bajo ad hoc , en el marco de la Comisión Europea, para combatirlo. Nuestro sis- tema jurídico debe contemplar la lega- lidad de este tipo de información siem- pre que sea tratada y utilizada para ha- cer frente a amenazas concretas contra la seguridad pública que el ataque a este tipo de instalaciones, redes o sistemas, pueda ocasionar. cidentes de operadores de servicios esenciales tanto a través del CERTSI, para operadores críticos, como del CCN-CERT, para operadores públicos, ya sean críticos o no. En este sentido, se deberá reflejar en la nueva norma, para mayor seguridad jurídica de los opera- dores, a qué CERT deben reportar sus incidentes, sin perjuicio de reforzar la necesaria colaboración y coordinación entre ellos para alcanzar cotas óptimas de eficacia y eficiencia. Y en la nueva Ley NIS también debe jugar un papel relevante la OCC, ejer- ciendo como canal específico de co- municación entre los operadores y los CSIRT nacionales de referencia, así como con la Secretaría de Estado de Seguridad, desempeñando la coordi- nación técnica en materia de ciberse- guridad entre dicha Secretaría de Es- tado y sus organismos dependientes, sin perjuicio de las competencias atri- buidas a otros ministerios Nuevas necesidades Todo este desarrollo normativo debe ser utilizado en la futura Ley NIS teniendo en cuenta que, además, deberán desa- rrollarse otros aspectos como la regula- ción de los CSIRT o un régimen sancio- nador (3) . Paralelamente a la aprobación de la Ley NIS, parecen necesarias algunas modificaciones en la Ley PIC para que ambas normas, en relación a los opera- dores críticos, vayan de la mano. Aprovechando esta armonización, y dada la experiencia acumulada en estos seis años de vigencia de la Ley PIC, de- ben incluirse otra serie de actualizacio- nes en la misma que son necesarias para la mejora y perfeccionamiento del pro- pio sistema nacional PIC. Entre otras: Extender los plazos de presentación de los planes (PSO y PPE), dada la dificul- tad que han tenido algunos operado- res (fundamentalmente públicos) en la elaboración de los mismos por cuestio- nes administrativas. Establecer la obligatoriedad de que todo operador crítico cuente con un departamento de Seguridad y reforzar

RkJQdWJsaXNoZXIy MTI4MzQz