La pandemia ha puesto de relieve nuestra dependencia tecnológica. En este contexto, la ciberseguridad se ha convertido, más que nunca, en un reto global que traspasa fronteras y que nos afecta a todos, a cada uno de nosotros, formando parte de nuestro día a día.
Por tanto, la ciberseguridad hoy, se erige como una de las piedras angulares del imparable proceso de transformación digital en el que nos encontramos, los gobiernos, los ciudadanos, la sociedad, somos ampliamente sensibles a este reto que debemos abordar de manera conjunta.
Estamos siendo testigos de importantes cambios sociales. La nueva forma de relacionarnos en nuestra vida personal, profesional, comercial, etc. están dando a un aumento de nuestra exposición a riesgos y amenazas en el ciberespacio. Estos últimos meses, estamos observando acciones de las que debemos tomar buena nota para enfrentarnos a lo que viene y preparándonos para el futuro.
Por otro lado, en el marco normativo y de la regulación, y atendiendo a que su respuesta siempre va por detrás de la realidad, tiene que hacer frente a estos nuevos escenarios y lo está haciendo tanto a nivel nacional como internacional.
En este marco, la Comisión Europea adoptó la Directiva NIS (Security of Network and Information Systems), concebida en 2013, vio por fin la luz en 2016 al objeto de mejorar la prevención y resiliencia de las redes y sistemas de comunicación públicos y privados de la Unión Europea dentro del Mercado Digital Único.
En España, la Directiva NIS se ha transpuesto al ordenamiento jurídico a través del Real Decreto-ley 12/2018 de seguridad de las redes y sistemas de información, y fija un marco institucional de cooperación que facilita la coordinación de las actuaciones realizadas en esta materia a nivel nacional, con los países de nuestro entorno y en el marco de la UE. El Real Decreto-ley ha sido desarrollado por el Real Decreto 43/2021.
Esta normativa, entre otros asuntos, aborda temas importantes como la obligación de los operadores de servicios esenciales de notificar los incidentes graves que afecten a su actividad. Esto quiere decir que, aquel que sufra un ataque/delito grave, tiene la obligación de notificarlo pues el daño producido puede exceder a la esfera individual, impactando en otros sectores y servicios.
A la par, designa a los CERT o CSIRT equipos de respuesta a incidentes de seguridad informática en materia de seguridad de las redes y sistemas de información de referencia) de referencia a nivel nacional. En España, los tres CSIRT de referencia son el CCN-CERT, para las entidades de ámbito público, e INCIBE-CERT para operadores críticos y proveedores de servicios digitales que no sean públicos. Siendo también el CSIRT de referencia para ciudadanos y entidades privadas. En tercer lugar, se establece la competencia del ESPDEF-CERT, del Ministerio de Defensa, que coopera con los anteriores en aquellas situaciones que éstos requieran y, necesariamente, en aquellos operadores que tengan incidencia en la Defensa Nacional.
Asimismo, y cuando las actividades que desarrollen puedan afectar de alguna manera a un operador crítico, los CSIRT de referencia se coordinarán con el Ministerio del Interior, a través de la Oficina de Coordinación Cibernética (OCC).
Por otro lado, y al más alto nivel, el modelo de gobernanza se integra en el Sistema de Seguridad Nacional, siendo el Consejo de Seguridad Nacional el que ejerce, a través del Departamento de Seguridad Nacional, una función de enlace para garantizar la cooperación transfronteriza con el resto de Estados miembros de la Unión Europea. Esto eleva la ciberseguridad al máximo nivel estratégico político en la toma de decisiones.
En cuanto a los trabajos complementarios que España ha abordado en este marco, los organismos competentes han desarrollado la Guía Nacional de Notificación y Gestión de Incidentes que incluye información sobre la taxonomía de incidentes, criterios de peligrosidad, impacto y marcos temporales de notificación, así como la obligatoriedad de contar con un Responsable de Seguridad de la Información para los servicios esenciales nacionales.
Ante los cambios tan profundos que se están produciendo, las normas no pueden permanecer estáticas, y así avanza también la Directiva NIS. A mediados del pasado año, la Comisión lanzó una consulta para evaluar a los Estados miembros sobre sus avances en las medidas adoptadas para elevar la seguridad de las redes y sistemas de información y las mejoras. La encuesta ahondaba en algunos problemas que la Directiva NIS no había solucionado, entre ellos las desiguales aplicaciones en cada Estado miembro, la escasa ciberresiliencia de las empresas, o la determinación de los incidentes que debían notificarse de forma obligatoria.
En base a estos resultados y a finales de 2020, la Comisión Europea y el Alto Representante para Asuntos Exteriores y Política de Seguridad presentaron la nueva estrategia de ciberseguridad europea que marca la hoja de ruta de la ciberseguridad en los próximos años.
En el paquete de medidas de ciberseguridad, se aborda además una nueva propuesta de Directiva NIS, la NIS 2.0, actualmente en negociación. Sobre los borradores en los que se está trabajando, se vislumbra la ampliación del alcance, añadiendo nuevos sectores en función de su importancia para la economía y la sociedad. Se apunta a cierta flexibilidad para identificar entidades más pequeñas con un perfil de riesgo de seguridad elevado.
Uno de los cambios más importantes en los que ahonda es la eliminación de la distinción entre operadores de servicios esenciales y proveedores de servicios digitales y, viene a reforzar, los requisitos de seguridad para las empresas e introduce disposiciones más precisas sobre el proceso de notificación de incidentes.
Finalmente quiero resaltar que nos encontramos ante un escenario cambiante y dinámico, en el que tendremos que adoptar y adaptarnos a nuevos procedimientos acordes a la transformación digital actual y futura que sin duda vendrá acompañada por más medidas de ciberseguridad. Solo juntos, organismos públicos y privados a nivel nacional e internacional podremos luchar de manera más contundente ante las ciberamenazas para contribuir a conseguir un ciberespacio más protegido, más seguro.
*** Rosa Díaz Moles es directora general de INCIBE