Factum

El rol del CISO tras el anteproyecto de ley de ciberseguridad

Rafael Ortega

Rafael Ortega - Director de Desarrollo de Negocio y Consultoría

El 14 de enero quedaba aprobado en el Consejo de Ministros el anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad. La norma, propuesta de manera conjunta de los ministerios del Interior, de Defensa y para la Transformación Digital y de la Función Pública, transpone al ordenamiento nacional la Directiva 2022/2555 del Parlamento Europeo y del Consejo (NIS-2).

El anteproyecto precisa las entidades públicas o privadas afectadas por las normas de ciberseguridad que establece, y crea el Centro Nacional de Ciberseguridad, que se encargará de la dirección, impulso y coordinación en la materia, garantizará la cooperación intersectorial y transfronteriza con otras autoridades competentes y será autoridad de gestión de crisis en caso de incidentes de entidad.

Actualmente, está pendiente de tramitación con urgencia, y dar de inmediato paso a su debate parlamentario.  Aunque aún quedan algunos pasos para su aprobación definitiva en el Parlamento y su publicación en el BOE, es fundamental que las organizaciones empiecen a prepararse.

¿Cómo impacta todo esto en el papel desempeñado por Chief Information Security Officers (CISOs)? Veámoslo.

Designación del Responsable de la Seguridad de la Información (CISO)

  1. Individuación o colegialidad:
    1. El responsable de la seguridad de la información puede ser una persona física, una unidad o un órgano colegiado. Si se trata de un órgano colegiado, debe nombrarse a una persona física como representante y un sustituto que pueda asumir sus funciones en caso de ausencia, vacante o enfermedad.

Funciones principales del CISO

  1. Elaboración y supervisión de políticas:
    1. Diseñar estrategias y políticas de seguridad para la organización, incluyendo medidas técnicas y organizativas de ciberseguridad.
    1. Supervisar su implementación, eficacia y realizar controles periódicos.
  • Cumplimiento normativo:
    • Garantizar que la entidad cumpla con la normativa en seguridad de redes y sistemas de información.
    • Supervisar la aplicación de guías e instrucciones emitidas por las autoridades de control.
  • Gestión de incidentes:
    • Detectar, gestionar y notificar incidentes de ciberseguridad que puedan afectar las operaciones o servicios de la entidad.
    • Remitir informes detallados a las autoridades correspondientes, incluyendo informes iniciales, intermedios y finales.
  • Relación con terceros:
    • Actuar como punto de contacto con las autoridades de control y los CSIRT (Equipos de Respuesta ante Incidentes de Seguridad Informática).
    • Supervisar que los proveedores y empresas externas cumplan con los criterios de seguridad establecidos.
  • Capacitación y ciber higiene:
    • Fomentar buenas prácticas en seguridad de la información.
    • Organizar programas de capacitación para empleados en aspectos técnicos, organizativos y normativos de la ciberseguridad.
  • Documentación:
    • Elaborar un documento denominado «declaración de aplicabilidad de sistemas», que debe incluir las medidas de seguridad implementadas y enviarse a las autoridades dentro de seis meses.
¿Tienes dudas o comentarios? ¡Hablémoslo! Estaremos encantados de entrar en detalles

Requisitos del CISO

  1. Capacitación y experiencia:
    1. El CISO debe contar con formación y experiencia técnica, jurídica y organizativa adecuadas para el desempeño de sus funciones.
    1. En entidades críticas, el personal asignado debe estar acreditado por el Centro Nacional de Ciberseguridad.
  • Recursos y posición:
    • La organización debe proporcionar al CISO los recursos necesarios para cumplir sus funciones.
    • Debe tener una posición dentro de la estructura organizativa que le permita participar en decisiones clave y mantener independencia de los responsables directos de las redes y sistemas.

Obligaciones específicas

  1. Notificación de incidentes:
    1. El CISO es responsable de garantizar que las notificaciones de ciberincidentes se realicen sin dilación indebida, utilizando plataformas específicas y cumpliendo plazos establecidos (p.ej., 24 horas para alertas tempranas y 72 horas para informes iniciales).
  • Coordinación con CSIRT y autoridades:
    • Mantener una comunicación fluida con los equipos nacionales de respuesta y las autoridades de control, asegurando la colaboración para la gestión de riesgos y la mitigación de incidentes.
  • Supervisión de terceros:
    • Monitorear el cumplimiento de los estándares de ciberseguridad por parte de proveedores y terceros relacionados con la entidad.

Supervisión del CISO

  • Las autoridades de control verifican el cumplimiento de las funciones del CISO, evaluando su eficacia y nivel de cumplimiento en auditorías y revisiones periódicas.

Variabilidad entre entidades

  1. En entidades esenciales:
    1. El rol del CISO incluye una mayor responsabilidad en términos de acreditación y cumplimiento normativo debido a la criticidad de sus operaciones.
  • En entidades importantes:
    • Aunque las responsabilidades son similares, pueden optar por autoevaluaciones en lugar de certificaciones formales en algunos casos.
¿Tienes dudas o comentarios? ¡Hablémoslo! Estaremos encantados de entrar en detalles

Responsabilidades y posibles sanciones vinculadas al CISO

  1. El rol del CISO como garante de cumplimiento normativo:
    1. El CISO tiene la responsabilidad de supervisar e implementar las medidas de ciberseguridad requeridas, incluyendo la elaboración de políticas, la gestión de incidentes, y la notificación a las autoridades de control​​.
    1. La falta de designación de un CISO o el incumplimiento de sus funciones específicas puede ser clasificado como una infracción grave o leve según la naturaleza del incumplimiento​.
  • Sanciones relacionadas con el desempeño del CISO:
    • Aunque las sanciones administrativas recaen principalmente en la entidad, el incumplimiento de los deberes del CISO puede implicar responsabilidades indirectas, especialmente si su falta de acción contribuye a una infracción.
    • La ley contempla que los miembros de los órganos de dirección, quienes supervisan al CISO, sean responsables solidariamente en casos de infracciones por parte de la entidad​.
  • Acciones específicas que pueden derivar en sanciones:
    • Falta de implantación de medidas de seguridad supervisadas por el CISO.
    • Falta de notificación oportuna de incidentes significativos, una obligación gestionada a través del CISO​​.
    • Designación inadecuada de la figura del CISO, incluida la falta de acreditación o recursos necesarios para sus funciones​.

¿Cuándo las sanciones son para la empresa?

  1. Casos generales:
    1. Las sanciones suelen dirigirse a la empresa cuando se identifica una falla sistémica o estructural, como la falta de medidas de ciberseguridad, incumplimiento de normativas, o negligencia en la gestión de riesgos​​.

  2. Clasificación de infracciones y multas:
    1. Muy graves: Omisión de medidas críticas o falta de respuesta ante incidentes significativos (multas de hasta 10 millones de euros o el 2% del volumen de negocios mundial, en entidades esenciales)​.
    1. Graves: Retrasos en la implementación de medidas o incumplimiento de instrucciones específicas (multas hasta 500,000 euros)​.
    1. Leves: Retrasos menores o errores en la documentación o notificaciones (multas hasta 100,000 euros)​.

  3. Casos específicos:
    1. La empresa puede ser sancionada por no designar un CISO, o por no proporcionar los recursos necesarios para su desempeño adecuado​.

¿Cuándo las sanciones pueden alcanzar al CISO o directivos?

  1. Cargos directivos responsables:
    1. Los miembros de los órganos de dirección son responsables solidarios de las infracciones cometidas por la entidad si se demuestra que no supervisaron adecuadamente el cumplimiento de la normativa​.
    1. Esta responsabilidad no recae directamente en el CISO como individuo, pero sí puede afectar su posición si es considerado un representante de los órganos directivos.

  2. Medidas provisionales y restricciones:
    1. La ley permite que los órganos jurisdiccionales puedan suspender temporalmente a directores generales o representantes legales si se considera que su actuación contribuyó al incumplimiento normativo​.

¿Estás adaptándote a NIS2? Podemos echarte una mano. Solicita hablar con un experto.

También te puede interesar

¿Quieres estar al día de las últimas novedades?

Inscríbete

Resumen de privacidad
Factum: especialistas en ciberseguridad

Esta web utiliza cookies para que podamos ofrecerte la mejor experiencia de usuario posible. La información de las cookies se almacena en tu navegador y realiza funciones tales como reconocerte cuando vuelves a nuestra web o ayudar a nuestro equipo a comprender qué secciones de la web encuentras más interesantes y útiles.

Cookies estrictamente necesarias

Las cookies estrictamente necesarias tiene que activarse siempre para que podamos guardar tus preferencias de ajustes de cookies.

Cookies de terceros

Esta web utiliza Google Analytics para recopilar información anónima tal como el número de visitantes del sitio, o las páginas más populares.

Dejar esta cookie activa nos permite mejorar nuestra web.

Powered by  GDPR Cookie Compliance