España avanza sobre la protección de las infraestructuras críticas.
Con el Real Decreto-Ley 12/2018 de Seguridad de las Redes y Sistemas de Información, el Gobierno amplió la cobertura de la Directiva NIS (directiva Nacional de Seguridad de las Redes y Sistemas de Información) a todos los sectores esenciales y críticos en nuestro Estado. Fruto de la Directiva NIS, se ha creado un grupo de cooperación permanente del cual emanan varios grupos de trabajo que se centran en los diferentes sectores esenciales, incluyendo las infraestructuras digitales y también los proveedores de servicios digitales, además de la creación de la CSIRT Network, en la que participan INCIBE-CERT y el CCN-CERT.
En 2019 y 2020, se revisó la Estrategia Nacional de Ciberseguridad, y se revisó la Agenda Digital para España. Otras legislaciones, como la relativa a la Protección de Datos o las distintas revisiones del Código Penal en lo relativo al ciberdelito, han ido fortaleciendo el esquema normativo y estratégico. Adicionalmente, en 2019 se trabajó en la ciberseguridad del despliegue del 5G en Europa, colaborando todos los Estados miembros en el desarrollo conjunto de un toolkit de ciberseguridad.
También en 2019, y ya en 2020, se ha trabajado en el diseño y generación del Centro de Competencias en Ciberseguridad Europeo, que se ubicará en Bucarest (Rumanía). Para dicho centro, cada Estado miembro tendrá su espejo, siendo en este caso el INCIBE el elegido en España.
Durante el 2020, ha visto la luz el Foro Nacional de Ciberseguridad, que emana de la revisión de la Estrategia Nacional de Ciberseguridad, como un elemento más de coordinación e integración de las diferentes políticas públicas y privadas en ciberseguridad a nivel nacional.
Desde la puesta en marcha de los servicios de respuesta a incidentes a través del INCIBE-CERT, en coordinación con el CNPIC y la OCC, en España, se han realizado siete ediciones de ciberejercicios CyberEx España, con 30 operadores de infraestructuras críticas en cada edición; se han llevado a cabo cuatro mediciones de la ciberresiliencia en estos operadores, todas con buenos resultados; y se han realizado más de 100.000 notificaciones preventivas de posibles recursos comprometidos en sus diferentes activos, entre otros servicios que se prestan hacia estas entidades.
Todo ello muestra al menos dos aspectos muy relevantes a tener en cuenta: el compromiso de nuestras empresas en el ámbito de la protección cibernética de las infraestructuras y redes que se utilizan para la provisión de servicios esenciales y, por otro lado, que como en el resto del mundo estas infraestructuras y redes son objeto de ciberataques y ciberamenazas. Además, el sector industrial español focalizado en la ciberseguridad ha ido acompañando a estas compañías no solo en la detección y respuesta ante incidentes, sino en el crecimiento de sus capacidades de defensa y resiliencia en ciberseguridad.
España es el primer país en tener una Guía Nacional de Notificación y Gestión de Incidentes (elaborada conjuntamente por el Departamento de Seguridad Nacional, el CNPIC, el CCN, INCIBE y el Mando Conjunto del CiberEspacio), cuyos apartados más importantes se han incluido en la instrumentación técnica del Real Decreto-Ley 12/2018.
Todos estos avances son importantes, aunque no hay olvidar la responsabilidad compartida de la sociedad, la cual tiene que participar activamente en la seguridad de la red. Tanto las instituciones, como los ciudadanos y las empresas tienen que abogar por la seguridad de los servicios; con la seguridad y la concienciación es mucho más difícil que el ciberdelito haga mella en nuestra confianza; seamos más ciberresilientes y sigamos caminando con garantías hacia un nuevo horizonte en este proceso de evolución constante.
Redacción ASECOPS: María Cruz Míguez López