La aprobación en Consejo de Ministros, en su sesión del pasado 14 de enero, del anteproyecto de ley de Coordinación y Gobernanza de la Ciberseguridad, supone crear un nuevo organismo sin capacidades operativas, pero con amplias competencias para poder coordinar los distintos agentes que intervienen en materia de ciberseguridad.
Esta propuesta ha reabierto un viejo debate sobre cuál debe ser el modelo de gobernanza de ciberseguridad adecuado para poder abordar, de manera eficiente, los retos y desafíos que plantea, para España, la ciberseguridad de hoy y, sobre todo, la de mañana.
Este nuevo organismo, denominado Centro Nacional de Ciberseguridad, pasa a engrosar la lista de organismos con competencias en esta materia: el Mando Conjunto del Ciberespacio, el INCIBE, el Centro Criptológico Nacional, el CNPIC, el CNI o el Departamento de Seguridad Nacional (DSN), entre otros, además de los correspondientes CERT de los tres primeros, y de los equipos especializados de las Fuerzas y Cuerpos de Seguridad del Estado, de Fiscalía, o el Embajador en misión especial para las amenazas híbridas y la Ciberseguridad, por citar algunos. Todo ello sin contar con el Consejo de Ciberseguridad Nacional y el Consejo Nacional de Ciberseguridad, con labores de coordinación política y estratégica.
Esta propuesta ha reabierto un viejo debate sobre cuál debe ser el modelo de gobernanza de ciberseguridad
Efectivamente, siguiendo el modelo de otros países, la idea de disponer de un organismo especializado en esta materia siempre ha estado presente. De hecho, desde hace tiempo sobrevolaba en el sector la idea o el deseo, según se mire, de una agencia nacional de ciberseguridad).
No podemos obviar la postura crítica que recuerda el alto coste económico que tiene, para un país como España, mantener varios centros nacionales con objetivos similares y, en no pocas ocasiones, con conflictos competenciales que requieren una constante labor de coordinación, que algunos afirmaban que estaba bien resuelta en la actualidad.
El legislador europeo tiene, entre sus objetivos estratégicos, el de establecer un marco regulatorio para la ciberseguridad continental
Sin embargo, para otros, el sistema actual parecía ser mejorable en muchos aspectos, y defendían que la centralización de funciones de coordinación facilita la operatividad de los equipos técnicos de estos organismos garantes de la ciberseguridad, especialmente en situaciones de crisis cibernéticas, las cuales, por cierto, son cada vez más graves.
Impacto del organismo
En este momento, todavía no podemos valorar el impacto que la creación de esta nueva entidad pueda tener en las competencias -o financiación- de las entidades existentes, aunque a la vista de las nuevas funciones que se reservan a este Centro, sus labores estarán más centradas en la coordinación que en tareas operativas, como decíamos, al estilo de lo que venía desempeñando hasta ahora el Departamento de Seguridad Nacional.
En esta línea, el Consejo de Ministros se refería a este organismo como un “órgano de contacto único con la Unión Europea, con la misión de dirigir, impulsar y coordinar las acciones relacionadas con la ciberseguridad, garantizando la cooperación intersectorial y transfronteriza con otras autoridades competentes y convirtiéndose en autoridad de gestión de las crisis de ciberseguridad”.
No podemos obviar la postura crítica que recuerda el alto coste económico que tiene, para un país como España, mantener varios centros nacionales con objetivos similares
En otro orden de cosas, esta norma transpone la conocida (y esperada) Directiva NIS2, con respecto a lo cual España ha incumplido -otra vez- el plazo máximo para su adaptación al ordenamiento jurídico nacional (que concluyó el pasado 17 de octubre y de ahí la justificación para su tramitación por el procedimiento de urgencia).
Esta Directiva NIS2 incorpora obligaciones de seguridad para una serie de empresas que, en función de determinados parámetros, deben ser consideradas esenciales o importantes dentro del mercado y de la sociedad.
Sin entrar en el fondo de la norma, que va muy en línea con lo regulado en la Directiva y mantiene el régimen que ya había desarrollado España para adecuarse a NIS (aunque con algunas novedades muy relevantes en materia de obligaciones y responsabilidad de las empresas afectadas), hay que tener en cuenta que, desde hace ya algún tiempo, el legislador europeo tiene, entre sus objetivos estratégicos, el de establecer un marco regulatorio para la ciberseguridad continental.
Lo ha venido haciendo a través de numerosa regulación, en previsión de poder abordar los retos tecnológicos de un futuro caracterizado por incidentes de ciberseguridad cada vez más numerosos y complejos, especialmente con la incorporación de la IA y de, próximamente, las tecnologías cuánticas.
Todavía no podemos valorar el impacto que la creación de esta nueva entidad pueda tener en las competencias -o financiación- de las entidades existentes
Un desafiante futuro que requiere, para un país como España, de unas solidas capacidades de inteligencia y de gestión de incidentes, de generación y atracción de talento, de promoción de la industria nacional, y una eficaz coordinación entre todos los agentes públicos y privados. Pero siempre tendiendo a lograr la eficiencia de una estructura pública que, a día de hoy, parece sobredimensionada en tamaño, pero mal dimensionada en capacidades tecnológicas.
SOBRE LA FIRMA Francisco Pérez Bes es socio en el área de Derecho Digital de Ecix Group y ex Secretario General del Instituto Nacional de Ciberseguridad (INCIBE).