Los RSIAC designados ante AESA de acuerdo con SA-16, ¿tendrán un papel en la implementación de PART-IS?

La figura del Responsable de Seguridad de la Información de Aviación Civil se define en el apartado 2 de la Instrucción de Seguridad SA-16 como la persona de una entidad encargada de velar por la seguridad de la información de la organización frente a amenazas y ciberataques que pudieran afectar en materia AVSEC, teniendo establecidas las siguientes funciones y responsabilidades (tras la última actualización de la SA-16 del 18/12/2023):

a.    Identificación de las funciones críticas que son de aplicación a la entidad.
b.    Determinación de la criticidad de los sistemas comunicaciones y/o datos críticos en base a las funciones críticas identificadas.
c.    Realización del análisis de riesgos que permita identificar las vulnerabilidades, seleccionar e implantar medidas de seguridad de la entidad.
d.    Desarrollar, mantener y actualizar la documentación de seguridad de la información de la entidad.
e.    Asignación de perfiles y responsabilidades en materia de seguridad de la información.
f.    Comprobar que el personal cumple con lo establecido en el apartado 11.1.2 c) y en la Instrucción SA-20.
g.    Garantizar la concienciación y formación del personal en materia de seguridad de la información.
h.    Punto de contacto con las autoridades competentes nacionales y otras entidades en materia de seguridad de la información.
i.    Gestión de la cadena de suministros en materia de seguridad de la información.
j.    Establecer el procedimiento para el reporte de incidentes de seguridad de la información y monitorizar su cumplimiento.
k.    Gestionar y compartir la información relevante con las autoridades competentes y otras entidades, a propia iniciativa o por petición de las autoridades.
l.    Gestión de incidentes de seguridad de la información y coordinación con el CSIRT de referencia.
m.    Responsable frente a la Autoridad competente de las auditorías de seguridad de la información que se realicen. Gestionar las deficiencias e implantar las medias correctivas que sean necesarias

Así mismo, el Reg. CE nº 2023/203 en la IS.I.OR.240 (b) de Requisitos relativos al personal establece que el gestor responsable nombrará a una persona o grupo de personas que velarán por que la organización cumpla los requisitos del presente Reglamento, y definirá el alcance de su autoridad. Dicha persona o grupo de personas informará directamente al gestor responsable y tendrá los conocimientos, la formación y la experiencia adecuados para ejercer sus responsabilidades. En los procedimientos deberá determinarse quién sustituye a una persona determinada en caso de ausencia prolongada de esta.

Además, en la IS.I.OR.240 (d) se indica que, si la organización comparte estructuras organizativas, políticas, procesos y procedimientos de seguridad de la información con otras organizaciones o con áreas de su propia organización que no formen parte de la aprobación o declaración, el gestor responsable podrá delegar sus actividades en una Common Responsable Person (CRP).

En las “Acceptable Means of Compliance and Guidance Material to Annex II (Part-IS.I.OR) to Commission Implementing Regulation (EU) 2023/203” se aclara que:

“La posibilidad de delegar un CRP se aplica a una organización que comparte estructuras organizativas, políticas, procesos y procedimientos de seguridad de la información con otras organizaciones o con partes de su propia organización que no forman parte de la autorización o declaración, por lo que se espera que este CRP tenga responsabilidades y competencias en materia de seguridad de la información. En particular, el CRP debe ser capaz de gestionar la estrategia de seguridad de la información de la organización y su aplicación para garantizar la consecución de los objetivos descritos en el artículo 1. De acuerdo con el Marco Europeo de Capacidades en Ciberseguridad (ECSF) publicado por ENISA en septiembre de 2022, esta persona puede describirse, por ejemplo, como (jefe) responsable de seguridad de la información, director del programa de ciberseguridad o responsable de seguridad de la información.”

Por todo ello, tanto la normativa AVSEC, a través del RSIAC, como la normativa SAFETY (PART-IS) a través del CRP establecen la necesidad de que se nombre a una persona o varias que garanticen el cumplimiento de los requisitos de Seguridad de la Información que establecen dichos reglamentos.

Será potestad de cada entidad establecer si la figura responsable del cumplimiento de los requisitos de seguridad de la información desde el punto de vista AVSEC (RSIAC) y la figura responsable del cumplimiento de los requisitos de seguridad de la información desde el punto de vista SAFETY (CRP) es una figura común o son personas distintas coordinadas, así como la posible estructura organizativa que asegure el cumplimiento de ambas legislaciones.