¿ Cómo puede un CEO, responsable de la administración de una empresa, gestionar eficazmente la tremenda cantidad de requerimientos legales exigibles a una organización? ¿El cumplimiento de leyes como el RGPD, el ENS o garantizar la seguridad de los sistemas ?

El artículo 225 de la ley de sociedades de capital le exige un deber de diligencia que se concreta, entre otros puntos, en adoptar las medidas precisas para la buena dirección y el control de la sociedad. Un deber de lealtad (art. 227) y evitar situaciones de conflicto de interés (art. 227) y responder por el daño que causen por actos u omisiones contrarios a la ley (art. 236) están en su marco de responsabilidades. Pero ¿el CEO esta solo?

INCIBE nos anuncia que balance el año 2020 es de 106.466 incidentes de ciberseguridad afectando a ciudadanos y empresas.
El último informe sobre brechas de Seguridad de la AEPD (febrero 2021), arroja un balance de 146 notificaciones recibidas en este mes, 82 de ellas provocada por Malware, 22 por Hacking, 6 por documentación perdida/robada, 5 por Phishing y 5 por dispositivos perdido/robado, entre otras. Hay más de 300000 personas afectadas.

La Memoria de Supervisión 2020 del Banco de España alerta que uno de los principales riesgos del sector bancario en 2021 será la ciberdelincuencia.

El CCN señala en su informe «Ciberamenazas y tendencias 2020», que, quizás por el Covid, los delitos de ciberseguridad aumentaron y el 70 % de delitos se cebó en las PYMES. El Robo de datos, los ataques de denegación de servicio y el temido «ransomware» son las estrellas.

Recientemente el SEPE sufrió un ciberataque y el centro de datos de OVH Cloud sufrió 2 incendios. La AEPD impuso 2 multas a Air Europa por importe total de 600.000 € por comprometer 1.500.000 registros de tarjetas de crédito en una intrusión a sus sistemas.

Estos datos son alarmantes y el accionista y la empresa pueden sufrir un terrible daño económico y reputacional.

Pues bien, el legislador reacciona. La ley de seguridad de las redes y sistemas de información (Ley NIS) ha encontrado su desarrollo en la reciente publicación del RD 43/2021. Entre otras novedades, introduce la exigencia de la creación de la figura del CISO, con responsabilidad legal ante la autoridad competente en materia de supervisión de los requisitos de seguridad de las redes y sistemas de información, y como punto de contacto especializado para la coordinación de la gestión de los incidentes.

Las empresas principalmente afectadas por esta medida, como operadores de servicios esenciales y servicios digitales, son las que se ocupan de la gestión del agua, energía, empresas financieras, administraciones públicas, empresas que se dedican al sector de la alimentación y a la salud, los motores de búsqueda en línea y computación en la nube.

Las pymes, por el momento, no tienen la obligación de introducir esta figura, pero es un ejemplo más de lo que el legislador desea: «la autorregulación en la gestión de responsabilidades que permitan gobernar eficazmente una organización; y en este caso de la seguridad de la información»

El RD 43/2021 (art. 7) atribuye al CISO, entre otras, las siguientes funciones:

– Elaborar y proponer para su posterior aprobación, las políticas de seguridad y prevenir y reducir al mínimo los efectos de los ciberincidentes que afecten a la organización y los servicios.
– Supervisar y desarrollar la aplicación de las políticas de seguridad, normativas y procedimientos derivados de la organización, supervisar su efectividad y llevar a cabo controles periódicos de seguridad.

El CISO, debe ser una figura independencia respecto a los responsables de redes y sistemas de información, deberá contar con conocimientos especializados y experiencia en materia de ciberseguridad desde la perspectiva técnica, organizativa y jurídica. Puede compatibilizar su cargo con el de responsable de seguridad del ENS pero no se puede extender a la figura del DPD pues así lo manifestó la AEPD al considerar que surgiría un conflicto de intereses.

Y yo me pregunto, a la vista de estos datos ¿No es necesario un CISO en toda empresa?. Sin duda , porque estas figuras avalan una administración de hecho y una descarga del CEO que le permitan centrase en su responsabilidad in vigilando e in eligendo.

Óscar López, Director General ,Abogado experto Legal Corporate, Compliance, IT y Privacidad, Director UBT & Compliance  y Presidente Grupo Regulación de Autelsi y Observatorio Privacidad de Datos y Derechos Digitales