El Gobierno inicia el blindaje de España contra los ciberataques a sectores críticos
Para España es una amenaza grave «la cantidad, la magnitud, la sofisticación, la frecuencia y los efectos de los incidentes de naturaleza cibernética», y esa es la razón por la que el Consejo de Ministros este martes ha aprobado el anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad.
Las palabras son del ministro del Interior, Fernando Grande-Marlaska, que ha comparecido en Moncloa este martes tras la reunión del Ejecutivo para anunciar lo que de momento es solo un anteproyecto de ley, un arranque, pero culminará transponiendo al ordenamiento jurídico español la directiva europea NIS-2 (o 2022/2555), que se espera -y también se teme, por las exigencias que supone- en miles de empresas y entidades públicas y privadas de España.
El nuevo texto legal es propuesta conjunta de los ministerios del Interior, Defensa y para la Transformación Digital, y se plantea el blindaje más severo planteado hasta ahora en este país de todo tipo de redes abiertas y de intranet, archivos de datos, listados de usuarios y clientes, nubes de información, tráfico de correos electrónicos y páginas web… el océano de datos con que opera la sociedad española, y que en 2023 fue objeto de más de dos millones de intentos de intromisión, según datos del Centro Criptológico Nacional.
Centro de Ciberseguridad
Ese organismo de ciberseguridad dependiente del CNI y del Ministerio de Defensa -que recientemente alertó sobre el agravamiento de la amenaza, como adelantó este diario- está llamado a ser una de las autoridades para examinar el cumplimiento de las medidas de seguridad propuestas.
El anteproyecto prevé la creación de un Centro Nacional de Ciberseguridad para coordinar las acciones en esta materia. Está previsto que la nueva entidad dependa de la Secretaría General de Presidencia del Gobierno y que sea la interlocutora con Europa en caso de incidente cibernético relevante.
Los otros organismos que la futura ley señala como autoridades de control, además del CCN, son la Oficina de Coordinación de Ciberseguridad del ministerio del Interior y la Secretaría de Estado de Telecomunicaciones e Infraestructuras Digitales y de Digitalización e Inteligencia Artificial del ministerio de Transformación Digital.
Sectores afectados
«El uso de las redes y sistemas de información se ha convertido en crucial para el desarrollo de la inmensa mayoría de nuestras actividades sociales y económicas», ha advertido Marlaska, quien ve estas actividades «sometidas a graves amenazas y nuevos desafíos» en los que se pueden sufrir «graves daños a la economía y la seguridad nacional».
Esta transposición legislativa se tramitará por elprocedimiento de urgencia, en el que no se esperan grandes escollos parlamentarios. El plan en el caso español es sobre todo la protección de los llamados «sectores de alta criticidad», los que son clave las firmas españolas y extranjeras que aquí operan en las cadenas de suministro, banca, mercados financieros, transporte, energía, salud, suministro y calidad del agua… los objetivos preferidos por los grandes ciberataques sufridos en España y Europa.
Pero no solo están llamadas a acorazarse las empresas y entidades de esa vanguardia de la actividad en España, también las firmas de sectores menos críticos, como las mensajerías, las factorías químicas, el sector alimentario, la seguridad privada, la gestión de residuos y la investigación científica, entre otros.
Más de 12.000 empresas con sistemas de ciberseguridad actualmente deficientes tendrán que realizar mejoras según lo establecido en la directiva NIS-2, explican a este diario fuentes de la Seguridad del Estado. Cada entidad, según ha anunciado este martes Marlaska, deberá evaluar los riesgos en su actividad antes de cumplir con una nueva obligación: la de garantizar que sus redes informáticas son seguras y puede prevenir ataques.
Obligación de denunciar
Cuando el anteproyecto sea ley se acabará también la costumbre de callarse un ciberataque sufrido para salvaguardar el prestigio o la imagen de una empresa o una marca, pues será obligatorio -ya no voluntario- notificar al Centro de Ciberseguridad todos los incidentes de relevancia.
El anteproyecto contempla también la obligación de contar con un responsable de ciberseguridad en aquellas entidades y empresas de los sectores afectados, o que operen con el entidades públicas en esas áreas. Ese responsable deberá contar con una acreditación, una certificación de su preparación, otorgada por la Administración.
[–>
En el mundo de la ciberseguridad está demostrada la utilidad, imprescindible, de compartir información. Sobre la base de experiencias compartidas, diferentes equipos de respuesta -o CERTs- actuarán en caso de ataques de relevancia nacional y para ayudar a las entidades que lo soliciten. Esos equipos harán también de altavoz de alertas internacionales y de detección de amenazas de país o vulnerabilidades que el Estado haya podido detectar.
Puedes consultar la fuente de este artículo aquí