La transformación digital en la que nos encontramos inmersos en la actualidad conlleva la necesidad, por parte de los Estados, de garantizar una adecuada Estrategia de Gobierno de Ciberseguridad y Gestión de Riesgos Tecnológicos que permita gestionar de forma adecuada los nuevos riesgos derivados de la evolución tecnológica.

En este marco de transformación digital la seguridad de las redes y de los sistemas de información constituye un elemento esencial para mantener en funcionamiento la economía y garantizar la estabilidad del mercado en la Unión Europea.

Resulta imprescindible, por tanto, que los Estados miembros de la Unión Europea adopten medidas de seguridad que permitan garantizar su protección frente a ciberataques e interrupciones a gran escala de los servicios esenciales, especialmente tomando en consideración el hecho de que los modus operandi de la delincuencia organizada son cada vez más sofisticados y evolucionan de forma constante.

La Ciberseguridad contempla la protección de los sistemas de información, redes de comunicación y usuarios frente a posibles ciberataques. Se trata de un ámbito de responsabilidad compartida, en el que deben participar todos los actores implicados. Requiere tanto la coordinación de esfuerzos entre Administraciones Públicas, sector privado y ciudadanos, como el establecimiento de un modelo de gobierno adecuado y cooperación a nivel internacional.

Considerando todos estos aspectos, en el año 2013 en España se aprueba la Estrategia Nacional de Ciberseguridad, cuyo principal objetivo es garantizar la protección del ciberespacio y el uso seguro de los sistemas de información y telecomunicaciones, mediante la implantación de medidas de prevención, detección, análisis, investigación, respuesta y recuperación frente a ciberamenazas y ciberataques de forma coherente y estructurada.

Las directrices establecidas en la Estrategia Nacional de Ciberseguridad se formalizan en el Plan Nacional de Ciberseguridad, que detalla los principales riesgos y amenazas a las que se enfrenta España. El Plan Nacional de Ciberseguridad está constituido por los denominados Planes Derivados de Ciberseguridad, que desarrollan las medidas incluidas en las diferentes líneas de acción de la Estrategia, con el fin de garantizar el cumplimiento de los objetivos establecidos en la misma.

Es necesario destacar, en este sentido, que para la definición e implantación de las medidas establecidas en los Planes Derivados de Ciberseguridad deben ser considerados criterios de proporcionalidad, racionalidad y eficacia, así como garantizar el respeto al ordenamiento jurídico nacional e internacional.

Los principales aspectos contemplados en los nueve Planes Derivados de Ciberseguridad son los que se indican a continuación:

  • Seguridad, protección y resiliencia de los sistemas de información y telecomunicaciones que soportan las Administraciones Públicas, el sector privado y las infraestructuras críticas.
  • Mejora de las capacidades de prevención, detección, respuesta, investigación y coordinación frente a la ciberdelincuencia y el ciberterrorismo en el ámbito judicial y policial, así como fomento del intercambio de información sobre ciberamenazas.
  • Aseguramiento de la cooperación para la ciberseguridad y la ciberdefensa, tanto en el marco de la Unión Europea como en el marco internacional, apoyando el desarrollo de iniciativas coordinadas que contribuyan a la mejora de la ciberseguridad.
  • Fortalecimiento de los conocimientos, habilidades, experiencia y capacidades tecnológicas necesarios para alcanzar los objetivos de ciberseguridad establecidos en la Estrategia, así como impulso de la investigación en el ámbito de ciberseguridad.
  • Formación y concienciación en materia de ciberseguridad, tanto de los ciudadanos como de los profesionales, empresas y Administraciones Públicas, con objeto de contribuir a la creación de una cultura de ciberseguridad.

La implantación de la Estrategia Nacional de Ciberseguridad requiere el establecimiento de un modelo de gobierno con roles y responsabilidades específicos asignados a los diferentes actores implicados. Uno de los principales órganos que constituyen este modelo de gobierno es el Consejo Nacional de Ciberseguridad, órgano de apoyo al Consejo de Seguridad Nacional, responsable de la dirección y coordinación de la Política de Seguridad Nacional en el ámbito de la ciberseguridad.

Órganos como el Centro Nacional de Inteligencia, el Ministerio del Interior y el Ministerio de Defensa, entre otros, lideran el desarrollo de los Planes Derivados de Ciberseguridad a los que se ha hecho referencia con anterioridad.

Es necesario considerar, adicionalmente, que la Unión Europea está trabajando en diferentes iniciativas para promover la ciber-resiliencia en la Unión Europea y mejorar su capacidad de respuesta ante ataques que puedan afectar de forma negativa a sus intereses políticos, económicos o de seguridad.

La denominada Ciber-resiliencia es uno de los nuevos conceptos que surgen en el marco de la transformación digital. Se podría definir como la capacidad de las organizaciones de recuperarse frente a ataques deliberados o incidentes que impliquen el uso de tecnologías de la información y comunicaciones, garantizando una gestión eficiente de dichos incidentes y minimizando el impacto de los mismos.

En el marco de las iniciativas que están siendo desarrolladas a nivel europeo destaca la aprobación de la Directiva NIS (Directiva 2016/1148, de Seguridad de las Redes y de los Sistemas de Información), así como su transposición española mediante el Real Decreto-Ley 12/2018 de Seguridad de las Redes y Sistemas de Información.

La Directiva NIS establece medidas dirigidas a mejorar el nivel de seguridad en la Unión Europea. Contempla, entre otros aspectos, la exigencia de que los Estados Miembros dispongan de un Equipo de Respuesta a Incidentes de Seguridad y de una autoridad competente en materia de seguridad de las redes y sistemas de información. Establece medidas para facilitar la cooperación y el intercambio de información entre los Estados miembros y promueve la creación de una cultura de seguridad en aquellos servicios esenciales para la economía y la sociedad que se encuentran soportados por tecnologías de la información y comunicaciones (sector energía, transporte, sector financiero, salud,…)

A nivel europeo es necesario destacar, asimismo, el papel de ENISA (Agencia Europea para la Seguridad de las Redes y de la Información), cuyo principal objetivo es reforzar las capacidades de la Unión Europea, sus Estados Miembros y las empresas en relación a la prevención, gestión y respuesta ante incidentes relacionados con la seguridad de las redes y la información.

Resulta indiscutible, por tanto, el hecho de que la Ciberseguridad es un asunto de Estado, tanto a nivel europeo como a nivel internacional, que requiere una adecuada coordinación y cooperación entre la totalidad de actores involucrados (Administraciones Públicas, sector privado y ciudadanos).

En el mundo del ciberespacio, donde las fronteras se diluyen, se deben adoptar medidas que permitan garantizar la seguridad y la ciber-resiliencia de las organizaciones. La Estrategia de Ciberseguridad debe presentar un enfoque proactivo de gestión de riesgos, tanto desde la óptica de la prevención como desde la óptica de respuesta y recuperación de procesos y servicios críticos en caso de ciberataque o ciberincidente.