El pasado 22 de noviembre se celebró la jornada “Ciberseguridad en los entornos de infraestructuras críticas”, organizada por la Comisión de Seguridad y Confianza de AMETIC, con el objetivo de facilitar que los operadores de infraestructuras críticas y las empresas proveedoras del sector de la ciberseguridad pudieran exponer e intercambiar su visión, experiencia y soluciones al respecto, así como el impacto de la Directiva NIS recientemente aprobada.
El evento tuvo lugar en la sede de la CEOE en Madrid y durante su transcurso intervinieron los responsables de ciberseguridad de algunos de los principales operadores catalogados como infraestructuras críticas y que por tanto prestan servicios esenciales.
La apertura de la jornada corrió a cargo de Antonio Cimorra, director de Tecnologías de la Información, Desarrollo de la Economía Digital y Estudios de AMETIC. Durante su intervención destacó el papel de la Comisión de Seguridad y Confianza de AMETIC como interlocutor y voz autorizada de la industria de la ciberseguridad, para pasar a destacar que lo que hace que una infraestructura sea considerada como crítica es la importancia del servicio que presta. Asimismo, recalcó que hoy en día la ciberseguridad cobra especial importancia en cualquier infraestructura, y para hacer frente a las amenazas que evolucionan, crecen y traspasan fronteras, es muy importante la labor de actualización y coordinación que realiza el CNPIC. A su vez, la recientemente aprobada Directiva NIS apunta a homogeneizar las estrategias de seguridad de los Estados miembros de la UE y señala los sectores que considera que proporcionan servicios esenciales para la sociedad.
El evento continuó con la intervención de Fernando Sánchez, director del Centro Nacional de Protección de Infraestructuras Críticas CNPIC, que comenzó su ponencia con un mensaje tranquilizador sobre la Directiva NIS, indicando que su transposición a la legislación nacional se hará buscando el menor impacto posible en las empresas del sector y contando con la opinión de la industria. También indicó que la transposición se basará en la legislación existente que, de hecho, ya reconoce las figuras de infraestructura crítica y de servicio esencial. A la pregunta de los asistentes sobre as obligaciones de reporte Fernando Sánchez indicó que la idea de una “ventanilla única” ante la que informar es muy procedente, pero más importante es que cada actor sepa exactamente a quién y cómo reportar, sin necesidad de que esa ventanilla única lo sea para todos los sectores.
A continuación, tuvo lugar la mesa redonda sobre el impacto de las regulaciones de protección de infraestructuras críticas y la Directiva NIS en los sectores de la energía y de las infraestructuras de transporte. El moderador de esta mesa fue Mariano José Benito, coordinador del Grupo de Trabajo de Seguimiento Legislativo de la Comisión de Seguridad y Confianza de AMETIC, y como ponentes asistieron Luis Dorda, subdirector Seguridad de Proyectos Internacional de ADIF, Cándido Arregui, jefe Departamento de Seguridad TIC/CISO de AENA, Andreu Bravo, Information Security & Cibersecurity/CIS de Gas Natural Fenosa y Elena Matilla, responsable de la gestión de la Seguridad TI de REE. Ambas regulaciones son vistas con optimismo por parte de los operadores representados. Según las intervenciones, ha servido para concienciar a los altos cargos de la dirección de las empresas afectadas y además puede ser muy positiva al favorecer la homogeneización de políticas en Europa. Los ponentes mostraron acuerdo en la importancia de integrar todos los tipos de seguridad (física, ciberseguridad, ante accidentes, etc.) y evitar efectos “de silo”, algo que no se consigue en el mismo grado en todas las compañías. Asimismo, las organizaciones han podido aprovechar el impulso derivado de estas regulaciones para la realización de proyectos de mejora.
La segunda mesa redonda versó sobre el impacto de la Directiva NIS en el sector de la banca. El moderador fue Julián Inza, coordinador del Grupo de Trabajo de Prestadores de Servicios de Confianza Digital de la Comisión de Seguridad y Confianza de AMETIC, y participaron Jorge Blanco, Head of Global Forensics & Threat Intelligence del Grupo BBVA y Andrés García, director Corporativo – Control de Riesgo Tecnológico y Fraude de del Banco Santander. Ambos responsables coincidieron en que la aplicación de la Directiva NIS no debería presentar complicación para el sector bancario, muy adaptado a la ciberseguridad por la importancia que tiene en su negocio. Sí que puede ser algo más preocupante, para aquellas compañías que tienen carácter multinacional, la diferencia entre las distintas transposiciones que se realicen en cada Estado. También coincidieron en que la Directiva se recibe con incertidumbre, por un lado, y con cierto optimismo en la esperanza de que sirva para aumentar la concienciación sobre la ciberseguridad y la visibilidad de los asuntos que aborda. Sobre la notificación de incidentes, para este sector se comentó que no es algo novedoso ya que actualmente ya deben realizarlas ante el Banco Central Europeo, pero sí parece preocupante que no puedan converger en un mismo organismo las diferentes obligaciones de notificación. En su opinión, las actividades de notificación deberían abordarse más desde un punto voluntarista y de colaboración, que desde la obligación literal y la sanción.
La jornada fue clausurada por el presidente de la Comisión de Seguridad y Confianza de AMETIC, Juan Carlos Batanero. Tras realizar una breve síntesis de lo expuesto durante la mañana, agradeció la asistencia de los organizadores, los ponentes y el público en general, y expresó su deseo de volver a verles en futuras jornadas similares que puedan organizarse desde la Comisión.