El Consejo de Ministros aprobó ayer martes el anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad. Esa iniciativa nos prepara para la creación del llamado Centro Nacional de Ciberseguridad. La norma ha sido elaborada por los Ministerios del Interior, Defensa, y Transformación Digital y Función Pública. Su objetivo: actuar como autoridad central a la hora de gestionar posibles amenazas de seguridad en España como la que por ejemplo tuvo lugar el verano pasado con CrowdStrike.
Un centro para dominarlos a todos. Fernando Grande-Marlaska, ministro del Interior, destacó que las redes, ahora cruciales para nuestra vida cotidiana, "están sometidas a graves ciberamenazas". El Centro Nacional de Ciberseguridad se encargará según él "de la dirección, impulso y coordinación de todo este mecanismo" y será "la autoridad de gestión de las crisis de ciberseguridad que puedan producirse".
Directiva NIS-2. La futura ley incorporará al ordenamiento jurídico español la directiva del Parlamento Europeo del 14 de diciembre 2022 conocida como NIS-2. Como indican en INCIBE-Cert, Dicha directiva impone ciertas obligaciones a los Estados miembros y a las entidades públicas y privadas. Por ejemplo, clasifica entidades en esenciales e importantes con distintos regímenes de supervisión, y obliga a las entidades a gestionar sus riesgos de ciberseguridad, tomando medidas técnicas, operativas y organizativas.
Sectores críticos. Las nuevas medidas se centran en empresas y entidades encuadradas en sectores de alta criticidad como la energía, el transporte, banca y mercados financieros, sector sanitario, agua, infraestructuras digitales y servicios tecnológicos, entidades de la administración pública e industria nuclear. Tanto ellas como otras menos críticas (investigación científica, transformación y distribución de alimentos, entre otras) tendrán que "realizar una evaluación individualizada de su riesgo" y prevenir el riesgo de incidentes.
Notificar problemas cuanto antes. Otro de los elementos del anteproyecto es el de garantizar que las entidades avisen de los incidentes significativos que se produzcan en su operativa, así como las medidas y soluciones que pueden aplicar como respuesta.
Un responsable para cada entidad. El anteproyecto diseña la figura del responsable de la seguridad de la información. Se trata de una "persona u órgano designado por las entidades encargado de las funciones de punto de contacto y de coordinación técnica". En las entidades esenciales (las más relevantes en función de su tamaño) el responsable de la seguridad de la información deberá obtener la condición de personal acreditado.
El Centro Nacional de Ciberseguridad. Este anteproyecto prevé además la creación de este centro, que en principio se conforma con los tres equipos de respuesta a ciberamenazas que existían hasta la fecha:
- Incibe-Cert: que se encarga de amenazas de ciberseguridad en sector privado
- Centro Criptológico Nacional (CCN-Cert): gestiona las entidades del sector público
- Mando Conjunto del Ciberespacio: coopera con los dos anteriores y tiene una función esencial en los incidentes relacionados con el Ministerio de Defensa o las Fuerzas Armadas.
Autoridad centralizada. El Centro Nacional de Ciberseguridad actuará como "autoridad de gestión de las crisis de ciberseguridad", y la idea es que coordine y supervise la ejecución de esas tres agencias.
Autoridades de Control. Además la norma establece que existirán unas autoridades de control para las funciones de supervisión y ejecución de las medidas. Todas ellas tendrán que verificar en sus respectivos sectores que se cumplen los estándares, las funciones del responsable de las seguridad de las entidades y de realizar inspecciones para comprobar que esas medidas son adecuadas. Esas autoridades son las siguientes:
- Ministerio del Interior, a través de la Oficina de Coordinación de Ciberseguridad de la Secretaría de Estado de Seguridad
- Ministerio de Defensa, a través del Centro Criptológico Nacional del Centro Nacional de Inteligencia
- Ministerio para la Transformación Digital y de la Función Pública, a través de la Secretaría de Estado de Telecomunicaciones e Infraestructuras Digitales y de Digitalización e Inteligencia Artificial.
¿Conflicto? La puesta en marcha de este centro no debería por tanto plantear un conflicto con las agencias ya existentes, y aunque la idea parece adecuada —centralizar la gestión— también parece añadir una nueva capa de burocracia a la hora de gestionar estos incidentes y actuar sobre ellos. Se supone que la tramitación del anteproyecto es urgente y por tanto el Centro Nacional de Ciberseguridad debería ponerse en marcha cuanto antes: la trasposición de la Directiva NIS-2 al derecho interno español venció el 17 de octubre de 2024.
Imagen | La Moncloa
Ver 11 comentarios