Seguritecnia 504

Servicios esenciales / Noviembre-Diciembre 2023 41 "Es necesario tener en cuenta la extensa regulación que ya existe en seguridad para evitar duplicidades" "Una de las claves será contar con los operadores de servicios esenciales en el desarrollo de la transposición” Esta transposición brinda una magnífica oportunidad de au- mentar la resiliencia de las entidades críticas ante un pano- rama dinámico de amenazas entre las que se encuentran también las de orden climático, que incrementan el riesgo de- rivado de las catástrofes naturales e intensifica la frecuencia y la magnitud de los fenómenos meteorológicos extremos. A los efectos de determinar las obligaciones de las entida- des críticas, se debe tener en cuenta la extensa legislación ya existente relacionada con la seguridad ( Safety , Cybersecurity & Security ) y las diferentes responsabilidades y organización de- terminadas en la Directiva CER, para evitar duplicación de com- petencias, responsabilidades, etcétera. Igualmente, es necesa- rio que la transposición aclare de qué forma deben aplicarse coordinadamente las Directivas CER y NIS 2, puesto que se apre- cia disparidad entre el Centro Nacional de Protección de Infraes- tructuras Críticas y el Instituto Nacional de Ciberseguridad de España/Centro Criptológico Nacional en cuanto a las funciones y responsabilidades de las entidades críticas. En ese sentido, es recomendable contar con una sola autoridad de referencia. Por último, es muy conveniente que la nueva norma detalle y establezca el procedimiento de comprobación de antecedentes personales de las personas que van a ocupar puestos críticos. Poco se puede añadir a la necesidad y la congruencia de ac- tualizar el marco legal europeo en materia de infraestructuras críticas, recogido en la Directiva 2008/114/CE, tras más de una década. Los motivos son muchos y variados, necesariamente ligados a la evolución de las propias amenazas y conflictos emergentes. En la obligada futura transposición de la Directiva CER a nuestra legislación, deben asegurarse aspectos muy relevantes que la norma europea recoge y que dependerán de una imple- mentación técnica apropiada, sin solapamientos con la legisla- ción nacional vigente. Para ello, una de las claves será contar con los operadores de servicios esenciales en su desarrollo. Por ejemplo, me refiero a la tantas veces demandada en de- cenas de ámbitos “ventanilla única” con la Administración, en este caso a la hora de declarar o gestionar incidentes con un mecanismo ágil que permita la coordinación y comunicación en la detección, respuesta o mitigación de un incidente. Otro ejemplo está relacionado con la necesidad de minimi- zar las amenazas internas con la exigencia de antecedentes penales de personas con acceso a procesos críticos, con el doble objetivo de detectar posibles insiders y como instrumen- to de disuasión. Alberto Tovar Ropero Director corporativo de Seguridad de Cepsa José Antonio Vázquez Osuna Director de Seguridad (CSO) de Orange España