Seguritecnia 469

40 SEGURITECNIA Noviembre 2019 mía y Empresa. Este proyecto, que efec- tivamente se ocupa en profundidad de la figura y las funciones del RSI, con- tiene algunas previsiones que generan importantes dudas sobre su grado de madurez en lo que le respecta. En efecto, tras imponer a los opera- dores de servicios esenciales la obliga- ción de aprobar una política de segu- ridad de las redes y sistemas de infor- mación, dispone la elaboración de un documento denominado Declaración de aplicabilidad de medidas de seguridad en el que se relacionen las efectiva- mente adoptadas, que deberá ser sus- crito por el responsable de seguridad del sistema de información del ope- rador . Pero no deja de generar cierta confusión esta denominación, máxime cuando entre los requisitos a cumplir por el RSI figura textualmente el de “mantener la debida independencia respecto de los responsables de Siste- mas de Información”. Por cierto, siendo loable y muy acertada esta última pre- visión, el legislador podría contribuir a la claridad de su exposición con alguna otra expresión más adecuada, del tipo “en el ejercicio de sus funciones ac- tuará con independencia funcional res- pecto a los responsables de Sistemas de la Información”. En cuanto a estos requisitos, hay al- guna otra previsión de difícil encaje en el sistema que ha venido construyén- dose para los responsables de Seguri- dad. Tal es el caso del que impone “os- tentar una posición en la organización que facilite el desarrollo de sus funcio- nes, en particular la comunicación real y efectiva con la alta dirección”. Resulta insólito que el legislador quiera inter- ferir en la estructura de la organiza- redes y sistemas de información en la Unión, conocida también como Direc- tiva NIS, crea las figuras del operador de servicios esenciales y del proveedor de servicios digitales y les impone una se- rie de obligaciones en materia de se- guridad y de notificación de incidentes. Esta Directiva, no crea, en cambio, nin- guna obligación de que estos nuevos actores dispongan de ningún tipo de responsable en materia de seguridad o de enlace con las autoridades com- petentes. No porque no sea necesario, sino debido a que, en este caso, deja a los Estados miembros libertad para re- gular el cumplimiento de las obligacio- nes impuestas. Al transponer la Directiva a nues- tro ordenamiento, el Real Decreto-ley 12/2018, de 7 de septiembre, de seguri- dad de las redes y sistemas de informa- ción, establece que “los operadores de servicios esenciales designarán y comu- nicarán a la autoridad competente, en el plazo que reglamentariamente se es- tablezca, la persona, unidad u órgano colegiado responsable de la Seguri- dad de la Información , como punto de contacto y de coordinación técnica con aquella”. El Real Decreto-ley se limita a implantar la figura del RSI, ya existente en el ámbito del Esquema Nacional de Seguridad, sin entrar en otras considera- ciones, ni siquiera en la determinación de sus funciones específicas, que deja al desarrollo reglamentario. En cuanto a este reglamento, en fase de elaboración, recientemente hemos tenido acceso al Proyecto de Real De- creto que lo contiene, sometido al trá- mite de audiencia y de información pú- blica por la Secretaría de Estado para el Avance Digital, del Ministerio de Econo- pla, por primera vez, la posibilidad de imponer requisitos específicos a las em- presas, sean o no de seguridad privada, que se dediquen a las actividades de seguridad informática , por su inciden- cia directa en la seguridad de las en- tidades públicas y privadas y para ga- rantizar la calidad de los servicios que presten. Es decir, se centra en los pro- veedores de servicios de seguridad in- formática, tratando de proteger los sis- temas de información a fin de garanti- zar la confidencialidad, disponibilidad e integridad de la misma o del servicio que aquellos prestan. Evidentemente, en el concepto de se- guridad informática utilizado en la Ley se debe incluir la seguridad de la infor- mación , del dato como uno de los prin- cipales activos de las empresas, enten- dida como una subespecie de la segu- ridad digital que se ocupa de cualquier evento producido en dicho entorno. Desgraciadamente, la Ley de Segu- ridad Privada, que debería regular las aportaciones del sector privado a la se- guridad pública, peca de falta de am- bición por no entrar de lleno a consi- derar la mayor amenaza que se cierne hoy sobre nuestras empresas y entida- des. Esto es, por no atender priorita- riamente a la seguridad de la informa- ción como uno de los principales ac- tivos a proteger, considerando, tal vez, que otras normas habrían de asumir ese papel. Dicho esto, quizá tuviera razón el legislador en 2014, y haya sido pre- ferible esperar a la normativa europea en un tema donde las interconexiones e interdependencias aconsejan adoptar soluciones comunes en todos los Esta- dos miembros de la Unión. No obstante, queda meridiana- mente establecido en esta ley el prin- cipio de unificar en la figura del direc- tor de Seguridad la responsabilidad de la gestión de la seguridad frente a todo tipo de riesgos . Modelo NIS La Directiva 2016/1148, relativa a las me- didas destinadas a garantizar un ele- vado nivel común de seguridad de las La Ley de Seguridad Privada peca de falta de ambición por no atender prioritariamente a la seguridad de la información como uno de los principales activos a proteger A vista de