El Real Decreto Ley 12/2018, de seguridad de las redes y sistemas de información, que transpone la Directiva 2016/1148 del Parlamento Europeo y del Consejo, más conocida como Directiva NIS, establece la obligación para los operadores de servicios esenciales de designar un responsable de la Seguridad de la Información (RSI). Esta figura, que puede ser una persona, unidad u órgano colegiado, debe actuar como punto de contacto y de coordinación técnica con la autoridad competente.
Su creación es un indudable acierto del legislador español, dado que no aparece en la Directiva que se transpone. En este sentido, hay que recordar que la Directiva 2008/114, sobre protección de infraestructuras críticas (PIC), establecía para los operadores críticos la obligación de designar un responsable de Enlace para la seguridad, que asumiría la función de punto de contacto para cuestiones de seguridad entre el propietario u operador de la infraestructura y la autoridad competente del Estado miembro. Esta diferencia de tratamiento suscita alguna reflexión, especialmente en el momento en que se está configurando un modelo que, tratándose de seguridad, debe ser armónico y eficiente.
Modelo PIC
Hay que hacer notar que la Directiva PIC no habla de un responsable de Seguridad, sino de un responsable de Enlace para la seguridad. En cualquier caso, el legislador español, al transponer la Directiva (Ley 8/2011), avanza en el concepto y exige al operador la designación de un responsable de Seguridad y Enlace (RSE), además de un delegado de Seguridad por cada una de sus infraestructuras consideradas críticas. En todo caso, la Ley impone que el RSE designado deberá contar con la habilitación de director de Seguridad expedida por el Ministerio del Interior, según lo previsto en la normativa de seguridad privada o con la habilitación equivalente, en función de su normativa específica. Se trata, evidentemente, de un requisito mínimo para garantizar la cualificación técnica del designado, en su doble función de responsable de Seguridad y de Enlace con la Administración.
El Real Decreto 704/2011, que desarrolla la Ley PIC, no especifica las funciones del RSE en tanto que responsable de seguridad, sino únicamente en su faceta de enlace: “el responsable de Seguridad y Enlace representará al operador crítico ante la Secretaría de Estado de Seguridad en todas las materias relativas a la seguridad de sus infraestructuras y los diferentes planes especificados en este reglamento, canalizando, en su caso, las necesidades operativas e informativas que surjan al respecto”. No obstante, en cuanto a su faceta de responsable de Seguridad, la normativa de seguridad privada es clara, no solo en la atribución de funciones y responsabilidades al director de Seguridad, sino al exigir la cualificación necesaria para obtener la habilitación como tal.
Desconocemos si la intención del legislador era regular las funciones de los responsables de Seguridad de los operadores críticos o solo garantizar con su presencia un enlace técnicamente capacitado. Lo cierto es que, bajo esta normativa, los operadores críticos vienen designando como RSE tanto a su responsable de Seguridad como a otros miembros de sus respectivos departamentos de Seguridad que cuenten con la habilitación correspondiente. En cualquier caso, queda ahí un espacio de mejora para que en futuras revisiones se defina mejor la posición de esa importante figura.
Pero la normativa sobre protección de infraestructuras críticas va aún más allá, y establece los mecanismos de comunicación para ámbitos específicos, como la seguridad de la información. Así, el Plan Nacional de Protección de las Infraestructuras Críticas, actualizado por la Instrucción de la Secretaría de Estado de Seguridad número 1/2016, establece que, en el ámbito de la ciberseguridad, los puntos naturales de interlocución serán el jefe de Seguridad de la Información Corporativo (CISO) y/o los equipos de Seguridad de las Tecnologías de la Información de las respectivas organizaciones, por un lado, y el CERTSI (hoy, Incibe-CERT), por otro; sin perjuicio de que esta relación se efectuará a través de la Oficina de Coordinación Cibernética del CNPIC (Centro Nacional de Protección de Infraestructuras y Ciberseguridad) y con el conocimiento del respectivo RSE.
Es decir, admitiendo la conveniencia de contemplar vías de interlocución específicas para determinados temas, se subordinan al canal establecido para la interlocución genérica, definido por el RSE y el CNPIC (OCC, Oficina de Coordinación Cibernética). No podría ser de otra forma habida cuenta de la necesidad de unificar responsabilidades en materia de seguridad, función crítica para las organizaciones, que no admite descoordinación en sus acciones de ejecución.