NIS2: definir el CISO y el DPO como funciones separadas

Una vez que la directiva NIS2 se haya incorporado a la legislación nacional y haya entrado en vigor tendrá un impacto positivo en los estados miembros europeos ya que, por primera vez, se fomenta explícitamente la cooperación en materia de ciberseguridad. Para entonces, la necesidad de contar con programas de seguridad sólidos habrá pasado a estar en el punto de mira de la dirección de todas las empresas, entre otras cosas debido a las sanciones administrativas que serán similares a las de la RGPD.

Ante todo, la directiva promueve una mayor armonización de los requisitos de seguridad y las obligaciones de notificación en la UE. Para ello se ha creado la red de la UE CyCLONe (European Cyber Crises Liaison Organization Network) que ayuda a coordinar la divulgación de nuevas vulnerabilidades.

Las empresas deben presentar un informe inicial a las BSI 24 horas después del incidente

La creación de la Red de CSIRT de la UE también contribuye a ello. Se creó con la NIS y se ha reforzado con la NIS2. Su objetivo es contribuir al desarrollo de la confianza y fomentar una cooperación operativa rápida y eficaz entre los Estados miembros. Sus integrantes son los equipos nacionales de respuesta a incidentes de seguridad informática (CSIRT).

Dentro de las empresas, la directiva refuerza la cooperación entre el departamento jurídico y el de seguridad de la información. Refuerza los requisitos de protección al establecer un planteamiento de gestión de riesgos con una lista mínima de elementos básicos de seguridad que deben aplicarse.

En particular, se regulan más claramente las obligaciones de notificación de las violaciones de la seguridad y la protección de datos. Las disposiciones más precisas simplifican el proceso de notificación de incidentes, el contenido y el calendario. Ahora, las empresas deben presentar un informe inicial a las BSI 24 horas después del incidente, facilitar más detalles y un análisis 72 horas más tarde y preparar un informe completo al cabo de un mes.

CISO y DPO por caminos distintos: un vínculo más fuerte entre los requisitos empresariales y las TI

Otra novedad importante es la separación de la función del CISO de la del responsable de protección de datos (DPO). El propósito de la directiva es, entre otras cosas, aumentar el nivel de madurez de la seguridad de la información en todas las compañías implicadas. El papel del CISO será de asesor de la dirección. Esto creará un vínculo más fuerte entre los requisitos empresariales y las TI. En el mejor de los casos, NIS2 refuerza los vínculos de la compañía con la autoridad nacional de seguridad correspondiente y garantiza que las estrategias y prácticas de seguridad existentes se adapten a sus requisitos. El DPO entra en juego aquí porque NIS2 también da lugar a un mayor cumplimiento del RGPD.

Los expertos ya han identificado más de 28.000 DPO en todo el mundo desde la entrada en vigor del RGPD. El problema es que, en muchas empresas, las dos funciones de CISO y DPO las ocupan la misma persona. Esto debe cambiar para cumplir con la NIS2, ya que las tareas son demasiado amplias y la responsabilidad debe dividirse entre los dos puestos. De lo contrario, ambos seguirán siendo meras siglas.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

TE PUEDE GUSTAR

RECIBE LA NEWSLETTER

*Email: *Nombre apellidos: *Empresa: Cargo: Sector:

 
Please don't insert text in the box below!

ARTÍCULOS MÁS RECIENTES

ESCUCHA NUESTRO PODCAST

SÍGUENOS EN RRSS

MÁS COMENTADOS

Scroll al inicio