El pasado 28 de enero se publicó el RD 43/2021, conocido como Reglamento NIS, que define cómo deben abordar y hacerse responsables de su ciberseguridad los proveedores de Servicios Esenciales (PSE) que operan Infraestructuras Críticas y los Proveedores de Servicios Digitales (PSD), tales como mercados en línea, buscadores o proveedores de Cloud. La correcta aplicación del Reglamento NIS debe ayudar a las empresas a mejorar su ciberseguridad, pero podría transformarse en una lápida burocrática si se aplica mal ¿Cómo podemos actuar para conseguir la mejora que busca la ley?

Es más que probable que el Reglamento se constituya en la línea de base de referencia en ciberseguridad. El peso en el mercado de PSDs y PSEs, las extensas relaciones que estas organizaciones tienen con otras inicialmente no afectadas por este Reglamento NIS y los requisitos del Reglamento para PSDs y PSEs invitan a pensar en que todas las organizaciones aplicarán esta legislación para gestionar y gobernar su ciberseguridad. Parece sensato iniciar la adopción del Reglamento como marco de trabajo en ciberseguridad, como ya estamos haciendo las más prudentes, como complemento a otras actividades y marcos de referencia previamente adoptados.

Porque no todo en el Reglamento se deja a la prudencia de las empresas. Literalmente, el Reglamento exige que las empresas impactadas «gestionen los riesgos de terceros o proveedores«, a la vez que acepta que la organización «se podrá apoyar en servicios prestados por terceros» y les pide que tengan «en cuenta la dependencia de […] servicios o suministros contratados por el operador, así como las interacciones que presenten con redes y sistemas de información de terceros«. Es decir, este Reglamento requiere que las empresas se ocupen de las condiciones de ciberseguridad de los servicios y suministros que contratan a sus proveedores.

La primera valoración de este requisito debe ser positiva. Una organización no podrá desentenderse por completo de las actividades que contrata con terceros ni podrá traspasarle todas las responsabilidades en la subcontratación, sino que deberá asegurarse que esa contratación no deriva en un problema de ciberseguridad para sus clientes. Ya se sabe que la seguridad de una organización es la que tiene su parte más insegura, en eso el Reglamento no aporta ninguna novedad.

Pero desde el punto de vista del proveedor, la valoración no puede ser tan positiva. El Reglamento solo habla de la relación entre un cliente y su proveedor en los puntos citados, sin establecer ninguna limitación para la empresa, y habilitándola por tanto para poder imponer sus criterios particulares y necesidades ante sus proveedores. Esta capacidad que otorga el Reglamento abre la puerta a riesgos operativos importantes para los proveedores de ciberseguridad, que deberían ser evitados para no penalizar su capacidad de entrega de servicios, disminuir su competitividad o que tengan que satisfacer requisitos divergentes o incluso contradictorios que le hayan impuesto distintos clientes.

Una opción acertada sería que, al igual que la administración admite en su artículo 15.3 la certificación del PSE o PSD en un esquema de seguridad como prueba de conformidad, que estas certificaciones en esquemas de seguridad sean también aceptadas por los PSE y PSD respecto de sus proveedores. Cada hora de trabajo invertida en completar un informe o siendo auditado es una hora menos dedicada a proporcionar seguridad en los servicios.

Por último, la exigencia de estas nuevas actividades requiere de los proveedores que dediquen recursos adicionales a los que ya tenían dedicados en el área. Las empresas que no acepten que esta necesidad y pretendan mantener o incluso rebajar el coste de los servicios de su proveedor, o que consideren el factor precio de forma predominante o exclusiva, están aceptando implícitamente servicios de peor calidad y de menos seguridad, o el riesgo de que el proveedor peque de optimismo y no esté en condiciones de cumplir con los requisitos de seguridad del Reglamento NIS. Ninguna de las dos opciones parece prometedora. Por favor, no dejen que su departamento de compras siembre sus próximos incidentes de seguridad al seleccionar al proveedor más barato solo por ser el más barato.

Tratemos todos que el Reglamento NIS sea una palanca de mejora de la ciberseguridad de nuestro país, y no se quede en recolección burocrática de formularios Excel y solemnes declaraciones..

Mariano J. Benito,CISO, GMV Secure eSolutions y miembro Grupo Seguridad Autelsi.