Seguritecnia 469

42 SEGURITECNIA Noviembre 2019 desvirtúa el modelo establecido por el Ministerio del Interior, pues aparece un nuevo actor que viene a ejercer sus funciones al margen de los cana- les predeterminados. Nada impide que las empresas y enti- dades integren en sus departamen- tos de Seguridad especialistas en áreas concretas de riesgos, siempre que su actuación se produzca bajo la dirección y responsabilidad del co- rrespondiente director de Seguridad Corporativo. Es imprescindible regular la formación del RSI en base a estándares conoci- dos u otros diseñados expresamente a este efecto. Igualmente, debe estable- cerse claramente la necesidad de que forme parte de la estructura del ope- rador de servicios esenciales. El proyecto de Real Decreto que de- sarrolla el Real Decreto-ley NIS es parte del bloque normativo de segu- ridad y debería armonizar sus dispo- siciones con otras que también lo in- tegran. Según la acertada definición del Esquema Nacional de Seguridad, la seguridad debe entenderse como un proceso integral constituido por todos los elementos técnicos, huma- nos, materiales y organizativos rela- cionados con el sistema. Este princi- pio excluye cualquier actuación pun- tual o tratamiento coyuntural. S servicios en los, muy previsoramente, le autoriza a apoyarse. Conclusiones Como principales conclusiones de todo lo expuesto destaco las siguientes: El bloque normativo de seguridad está mayoritariamente auspiciado por el Ministerio del Interior, que ha unifi- cado la responsabilidad de la gestión de todo tipo de riesgos de empresas y entidades en torno a la figura del di- rector de Seguridad, integrado en la estructura del usuario en los supues- tos más críticos. Las funciones que le atribuye la Ley de Seguridad Privada proyectan al di- rector de Seguridad hacia una posi- ción preeminente, con responsabili- dad global sobre la seguridad de su organización, que está en condicio- nes de asumir dada su formación es- pecífica. La normativa PIC no desarrolla las funciones del RSE más que como res- ponsable de enlace con las autorida- des competentes, pero afianza cla- ramente su autoridad en esta mate- ria frente a otros enlaces técnicos que puedan establecerse. Con la intervención del Ministerio de Economía y Empresa al transponer la Directiva NIS y pretender regular una figura de nuevo cuño, como el RSI, se ción, porque su acción debería limi- tarse a crear un marco de responsabili- dades que implique a la alta dirección, sin pretender ubicar al RSI en una de- terminada posición en el organigrama de la empresa. También hay que ca- lificar como un vano ejercicio de vo- luntarismo el requisito de “ contar con los recursos necesarios para el desarro- llo de dichas funciones”. Siendo lógica esta pretensión, ¿quién es el sujeto de la obligación?, ¿el RSI, la alta dirección? ¿Quién evalúa la adecuación de los re- cursos a las necesidades? Respecto a las funciones atribuidas al RSI, la de “actuar como capacitador de buenas prácticas en seguridad de las redes y sistemas de información, tanto en aspectos físicos como lógi- cos”, puede conducir a la invasión de las competencias de los responsables de otras áreas. En sentido positivo, hay que reconocer el acierto de estable- cer la compatibilidad entre las funcio- nes de RSI y las de RSE, responsable de Seguridad del Esquema Nacional de Seguridad y delegado de Protección de Datos, aunque en este último caso la compatibilidad no resulte tan pací- fica a la vista de algunos informes de la Agencia de Protección de Datos. Lo que no resulta tan plausible es que el propio reglamento habilite un cajón de sastre para asignar al RSI “cualesquiera otras funciones que se determinen re- glamentariamente”. Pero, definitivamente, el gran fallo de esta nueva regulación radica en que no fija ningún requisito de formación para el RSI , que, obviamente, debe es- tar bien cualificado para desarrollar las funciones encomendadas. Le exige, en cambio, “contar con personal con co- nocimientos especializados y experien- cia en materia de ciberseguridad, desde los puntos de vista organizativo, téc- nico y jurídico”, sin establecer tampoco ningún estándar de referencia. Por otra parte, nada dice el proyecto de regla- mento respecto a la relación del RSI con su empresa, hasta el punto de que, con la redacción actual, podría ser un em- pleado del proveedor externo de los A vista de