El pasado 26 de enero el Boletín Oficial del Estado (BOE) publicó el Real Decreto 43/2021, por el que se desarrolla el Real Decreto-ley 12/2018, que regula la seguridad de las redes y sistemas de información utilizados para la provisión de los servicios esenciales y los servicios digitales.
La nueva normativa recoge obligaciones nuevas y amplía lo anteriormente establecido respecto a la creación de la figura del Responsable de Seguridad de la Información (RSI).
"Los operadores de servicios esenciales designarán y comunicarán a la autoridad competente, en el plazo que reglamentariamente se establezca, la persona, unidad u órgano colegiado responsable de la seguridad de la información, como punto de contacto y de coordinación técnica con aquella. Sus funciones específicas serán las previstas reglamentariamente", dictaba el Real Decreto-ley 12/2018 en su artículo 16.3.
La nueva regulación del responsable de seguridad de la información
El último Real Decreto, publicado hace unos días, dedica todo un artículo a regular la labor del Responsable de Seguridad de la Información (RSI) y lo hace dentro de su capítulo III, enfocado en los requisitos de seguridad. Concretamente, es el artículo 7 y se compone de cinco epígrafes en los que regula su designación, sus funciones y los requisitos que los operadores de servicios esenciales deben garantizar que cumplan.
Según dictamina, "el responsable de la seguridad de la información actuará como punto de contacto con la autoridad competente en materia de supervisión de los requisitos de seguridad de las redes y sistemas de información, y como punto de contacto especializado para la coordinación de la gestión de los incidentes con el CSIRT de referencia".
Entre las funciones de esta figura se encuentran la de supervisar y desarrollar la aplicación de las políticas de seguridad, normativas y procedimientos derivados de la organización, y la de actuar como capacitador de buenas prácticas en seguridad de las redes y sistemas de información, tanto en aspectos físicos como lógicos.
Para desarrollar estas funciones, se podrá apoyar en servicios prestados por terceros. Además, los operadores de servicios esenciales también deberán garantizar que el RSI dispone de medios y recursos suficientes para poder desarrollar sus funciones de manera real y eficaz.
"Viene a reconocer la figura del CISO y el sector ha reaccionado muy positivamente"
Francisco Pérez Bes, socio de Derecho Digital de Ecix y exsecretario general del Incibe, ha destacado que "esta nueva regulación de esta figura se ha percibido en el sector muy positivamente, pues viene a reconocer la figura y las funciones del CISO (Chief Security Information Officer), como la persona experta en la protección de la información de las organizaciones". Así lo recoge el portal El Economista y agrega que, a su juicio, "la información se ha convertido, desde hace ya algún tiempo, en un activo fundamental para cualquier negocio. Y, como activo valioso que es, se encuentra permanentemente amenazado por los ciberdelincuentes y otros riesgos inherentes a la actividad de las compañías".
"El cambio en la gobernanza de la ciberseguridad de las empresas va a suponer, sin duda, un refuerzo de las funciones y responsabilidades del CISO, pues es evidente que la ciberseguridad es un elemento transversal dentro de cualquier organización, ya que todas las áreas de la organización utilizan diariamente y de forma intensa la tecnología, con el consiguiente riesgo de que se incrementen los incidentes de seguridad", concluye el especialista en Derecho Digital, Francisco Pérez Bes.