La Fundación ESYS (Empresa, Seguridad y Sociedad Digital) acaba de publicar un detallado informe sobre uno de los temas más relevantes y polémicos en materia de Ciberseguridad y Riesgos: Una Propuesta de Gobernanza Pública de la Ciberseguridad en España.
¿Por qué ESYS hace esta propuesta?
En la era digital, caracterizada por la interconexión global de sistemas, la digitalización y la creciente dependencia de la tecnología, la ciberseguridad se ha convertido en uno de los pilares fundamentales para la estabilidad, la prosperidad y la seguridad de los Estados.
Los avances tecnológicos han transformado radicalmente la forma en la que interactuamos, brindando innumerables beneficios, pero también exponiendo a gobiernos, empresas y ciudadanos a un panorama de ciberamenazas cada vez más sofisticadas y omnipresentes. Así lo demuestran los hechos. Constantemente se asiste a la proliferación de noticias que señalan el alarmante aumento de la presencia y actividad de actores maliciosos en el ciberespacio, bien sean gobiernos, organizaciones criminales u otro tipo de entidades.
La ciberseguridad se ha convertido en uno de los pilares fundamentales para la estabilidad, la prosperidad y la seguridad de los Estados
España, como país miembro de la Unión Europea y actor en la comunidad internacional, no es ajena a las complejidades y desafíos de la ciberseguridad. Su economía, infraestructura, organismos y servicios públicos son dependientes de las redes y sistemas de información.
Por todo lo anterior, los poderes públicos pueden y deben acometer la tarea de crear un modelo de gobernanza que se articule a través de regulaciones y de la ejecución de políticas públicas. La implementación de una gobernanza sólida y coordinada entre los principales actores competentes en materia de ciberseguridad se vuelve imperativa para garantizar la seguridad y la resiliencia del país.
El propósito principal de nuestro informe es proponer un modelo de gobernanza pública en materia de ciberseguridad específico para España, que permita optimizar las potencialidades necesarias para cumplir adecuadamente con sus objetivos a partir de la revisión de la experiencia actual y el análisis comparado.
Un análisis comparado
A la hora de analizar el marco de referencia para la articulación del sistema de Gobernanza es imperativo un análisis comparado de los sistemas de Gobernanza existentes en aquellos países más relevantes, seleccionados teniendo en cuenta requisitos como la proximidad o pertenencia a la UE, el desarrollo y avance en la materia, que pueden aportar visiones distintas a la hora de formular recomendaciones.
Estos países son: Francia, Gran Bretaña, Japón, Israel, Italia, Estados Unidos, Polonia y Estonia.
De este análisis hemos obtenido las siguientes conclusiones:
- Coordinación a través de Órganos Colegiados: la presencia de órganos colegiados en todos los Estados subraya la necesidad de coordinación entre diversas agencias y organismos competentes en ciberseguridad.
- Flexibilidad en la disponibilidad de recursos de inteligencia, técnicos y de personal propios y a través de iniciativas de colaboración público-privadas.
- Identificación de un Primus Interpares: a pesar de la dispersión de competencias, un organismo que asuma un papel destacado y lidere el ecosistema de ciberseguridad.
- Vinculación indispensable con una Estrategia Nacional: la gobernanza efectiva en ciberseguridad debe estar intrínsecamente ligada a una estrategia nacional.
- Necesidad de establecer una única entidad competente en ciberseguridad a nivel nacional.
Los poderes públicos pueden y deben acometer la tarea de crear un modelo de gobernanza que se articule a través de regulaciones y de la ejecución de políticas públicas
La necesidad de un nuevo modelo
Una vez analizados estos sistemas comparados de Gobernanza, cabe detenerse en cuáles son las razones más relevantes que recomiendan la necesidad de revisar el modelo de Gobernanza pública de la ciberseguridad en España:
- La ciberseguridad es un aspecto muy relevante de la revolución digital que estamos viviendo de forma acelerada.
- El incremento en los últimos dos años del número de normas reguladoras de la ciberseguridad procedentes de la UE.
- El incremento del nivel y sofisticación de la amenaza en un contexto geopolítico y de seguridad cada vez más complejo.
- La indefensión de las pequeñas y medianas empresas frente a las amenazas cada vez más omnipresentes.
- La necesidad de reevaluar el modelo de gobernanza creado con la aprobación de la Directiva NIS 1 y la necesidad de actualizarlo conforme con las exigencias de la Directiva NIS 2.
- La necesidad de mejorar, simplificar y coordinar el régimen de ventanilla única para la notificación de incidentes a las AAPP y la coordinación de las diferentes autoridades competentes.
Con todos estos antecedentes, el Informe de la Fundación ESYS propone la creación en España de un organismo único en materia de ciberseguridad que dirija y coordine toda la importantísima actividad pública y privada en esta materia.
Competencias del nuevo órgano
La propuesta de crear una Agencia Española de Ciberseguridad se conformaría por la asunción de competencias hasta ahora asumidas por otros órganos de la Administración General de Estado. Por ello, el diseño que se propone aglutina:
- Las capacidades de prevención.
- Colaboración público-privada en materia de inteligencia de amenazas a través de mecanismos válidos de intercambio de información.
- Las capacidades de supervisión y control de los mecanismos de gestión de riesgos.
Asistir a las PYMES en sus procesos de digitalización.
Sería necesario que esa agencia asumiera las competencias que en estos momentos ejercen los distintos ministerios según el RD 43/2021 de seguridad de las redes y sistemas de información. Así, se dotaría de un perfil homogéneo a las actuaciones en ejecución de la normativa en vigor sobre ciberseguridad que en estos momentos están atomizadas en más de doce ministerios.
La propuesta de crear una Agencia Española de Ciberseguridad se conformaría por la asunción de competencias hasta ahora asumidas por otros órganos de la Administración General de Estado
Por otra parte, se deberían integrar en esta agencia un significativo número de las competencias y funciones que en estos momentos ejerce el CCN relativas a la seguridad de las redes y sistemas de las administraciones públicas y el Gobierno, puesto que la Directiva NIS 2 incluye estos servicios como esenciales sujetos a las mismas normas que el resto de los sectores económicos.
Esto no afectaría al resto de las competencias que ahora ejerce el CNI que no están directamente relacionadas con ese cometido, como las funciones de organismo de certificación por las especificidades propias de estas labores.
Un aspecto de gran relevancia son las capacidades de detección y respuesta en forma de una plataforma de ventanilla única y un CSIRT único (con el que se coordinarán todas las AAPP necesarias).
Es especialmente relevante explicitar la necesidad en este momento de evitar gestionar la ciberseguridad de empresas y ciudadanos y de las administraciones públicas por separado, como si las amenazas que penden sobre todos los sujetos afectados también pudiesen sectorizarse y fuesen diferentes. Es necesario integrar en un solo centro de decisión administrativa la protección de y la coordinación con los entes privados operadores de servicios esenciales.
Es especialmente relevante explicitar la necesidad en este momento de evitar gestionar la ciberseguridad de empresas y ciudadanos y de las administraciones públicas por separado
Por otro lado, estarían las capacidades de apoyo operativo, con la dotación suficiente tanto en capacidad como en flexibilidad, de los recursos técnicos, financieros y humanos necesarios para adaptarse a la evolución del contexto tecnológico.
En cuanto a las competencias de persecución del delito en la red y en materia de Defensa, en relación con las operaciones militares en el ciberespacio, se considera que, por su especificidad y trascendencia, deben ser ejecutadas en estrecha colaboración con la nueva agencia, pero ejercidas conforme a sus propias directrices, tal y como ahora mismo son ejercidas.
La gobernanza de la Agencia
No menos importante es lo relativo a la ubicación y dependencia jerárquica de esa nueva agencia. A este respecto caben varias soluciones. Por una parte, situar esta nueva agencia bajo la dependencia de la Presidencia del Gobierno o situarla bajo la dependencia del ministerio que tenga atribuidas las competencias en materia de transformación digital.
Siguiendo lo que otros países ya han implementado, sería conveniente que dependiese de la Presidencia del Gobierno mediante su incardinación en el Ministerio de la Presidencia, Justicia y Relaciones con las Cortes. De esa forma se visualizaría la relevancia máxima de esta nueva agencia y se reforzaría la coordinación entre órganos de la Administración del Estado y con las Comunidades Autónomas en esta materia.
Por otra parte, la atribución de competencias al nuevo Ministerio de Transformación Digital y de la Función Pública tiene la ventaja de la especialización en la materia, de forma tal que la actuación de la agencia sería uno de los principales activos de ese ministerio, contribuyendo así a posicionar la materia en el centro mismo de su actividad, como uno de los principales activos políticos y administrativos de ese ministerio.
Ambas soluciones suponen una unificación de fuerzas que contribuirá a la coherencia en el despliegue de las políticas públicas en esta materia y a una potenciación del ejercicio de las funciones públicas atribuidas a la Administración del Estado.
La agencia tendría entre sus órganos un Consejo rector, integrado por los máximos representantes de los diferentes ministerios y organismos con competencias en la materia
En cualquier caso, sea cual sea la dependencia orgánica de esa adscripción a uno u otro centro de decisión, es vital garantizar que no supone en modo alguno que el resto de responsables con competencias en la materia quedasen al margen de la gestión de esta agencia. Para ello la agencia tendría entre sus órganos un Consejo rector, integrado por los máximos representantes de los diferentes ministerios y organismos con competencias en la materia.
La urgencia y relevancia del reto de ciberseguridad al que nos enfrentamos exige que los poderes públicos sean capaces de dar respuesta a la necesidad de incrementar la ciberseguridad de la sociedad española, siendo esta una necesidad esencial del proceso de transformación digital profunda que estamos experimentando como sociedad en los últimos años.
SOBRE LA FIRMA Carlos López Blanco es presidente del Patronato de la Fundación ESYS (Empresa, Seguridad y Sociedad), abogado del Estado (ex.) y presidente de la Comisión de Economía Digital de la Cámara de Comercio Internacional (ICC), entre otros cargos.