El pasado 28 de enero se publicaba en el Boletín Oficial del Estado el Real Decreto 43/2021, de 26 de enero, por el que se desarrolla el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información.

Esta norma arroja una serie de nuevas obligaciones para las entidades que tienen la consideración de operadores de servicios esenciales. Entre estas nuevas obligaciones destaca la necesidad de que se nombre a un “responsable de seguridad de la información”. O lo que comúnmente se conoce como CISO (Chief Information Security Officer). Pero, debemos atender a una serie de dudas al respecto de la figura del responsable de seguridad de la información:

¿Puede ser un órgano colegiado o tiene que ser un profesional individual?

Puede ser tanto un órgano colegiado como una persona física. Sí la entidad decide nombrar un órgano colegiado, no obstante, debe designar un representante de la unidad y un sustituto.

¿Qué función principal tiene encomendada el responsable de seguridad?

Principalmente, es el punto de contacto con la autoridad competente en materia de supervisión de los requisitos de seguridad de las redes y sistemas de información, y como punto de contacto especializado para la coordinación de la gestión de los incidentes.

Además de ser el punto de contacto con las autoridades, ¿qué otras funciones tiene encomendadas?

La norma le impone las siguientes funciones:

1.- Elaborar y proponer para su posterior aprobación por la organización, las políticas de seguridad, que incluirán las medidas técnicas y organizativas, adecuadas y proporcionadas, para gestionar los riesgos que se planteen para la seguridad de las redes y sistemas de información utilizados. También para prevenir y reducir al mínimo los efectos de los ciberincidentes que afecten a la organización y los servicios.

2.- Supervisar y desarrollar la aplicación de las políticas de seguridad, normativas y procedimientos derivados de la organización, supervisar su efectividad y llevar a cabo controles periódicos de seguridad.

3.- Elaborar el documento de Declaración de Aplicabilidad de medidas de seguridad.

4.- Actuar como capacitador de buenas prácticas en seguridad de las redes y sistemas de información, tanto en aspectos físicos como lógicos.

5.- Remitir a la autoridad competente, a través del CSIRT de referencia y sin dilación indebida, las notificaciones de incidentes que tengan efectos perturbadores en la prestación de los servicios.

6.- Recibir, interpretar y supervisar la aplicación de las instrucciones y guías emanadas de la autoridad competente, tanto para la operativa habitual como para la subsanación de las deficiencias observadas.

7.- Recopilar, preparar y suministrar información o documentación a la autoridad competente o el CSIRT de referencia, a su solicitud o por propia iniciativa

¿Qué perfil debe tener el responsable de seguridad?

Debe contar con conocimientos especializados y experiencia en materia de ciberseguridad, y en particular desde la perspectiva técnica, organizativa y jurídica.

¿Qué obligaciones tiene la entidad con el responsable de seguridad?

a) Debe nombrar a la persona con conocimientos necesarios.

b) A su vez, dotarle de recursos necesarios para la ejecución de las funciones que tiene encomendada.

c) Además, facilitarle que participe en tiempo y forma en todas las cuestiones relativas a seguridad. A estos efectos, el responsable de seguridad debe de tener una posición en la estructura organizativa que permita el desarrollo de sus funciones.

d) Y, por último, otorgarle independencia respecto a los responsables de redes y sistemas de información.

¿Es compatible el cargo de responsable de seguridad con otros cargos asociados al Esquema Nacional de Seguridad?

Se permite que concurran en una misma persona el cargo de Responsable de Seguridad del Esquema Nacional con el responsable de seguridad de la información, siempre que el profesional nombrado tenga conocimientos, experiencia, independencia; y en su caso, titulación, funciones y responsabilidades…

¿Es compatible el cargo de DPD y responsable de seguridad?

No, no son compatibles. El delegado de Protección de Datos (DPD o DPO) es aquel profesional que supervisa y vigila el cumplimiento de la normativa de privacidad para garantizar el derecho fundamental a la protección de datos de los distintos interesados existentes en una organización (empleados, clientes, potenciales clientes, proveedores, etc.). El responsable de seguridad tiene las funciones delimitadas en la pregunta anterior, y surgiría un conflicto de intereses en el caso de que se nombrara a la misma persona. Así lo ha determinado la Agencia Española de Protección de Datos  en un informe en el que analiza la compatibilidad del cargo del responsable de seguridad del ENS con el cargo de DPD.

¿Puede externalizarse algunas de las tareas que se le exigen al responsable de seguridad?

Sí, la normativa establece que el responsable de seguridad podrá apoyarse en otros prestadores de servicios ofrecidos por terceros.

¿En qué plazo hay que nombrar al responsable de seguridad?

En el plazo de 3 meses desde la designación como operador de servicios esenciales.

Si se produce algún cese, incorporación o modificación, ¿qué plazo de notificación existe?

Un mes desde que se produzca el nombramiento o cese.

Desde UBT Legal & Compliance ofrecemos un servicio que garantiza y orienta la seguridad de la información en las organizaciones.