
Un anteproyecto de ley para armonizar la ciberseguridad
El año 2016 supuso un cambio de paradigma en la Unión Europea en lo referido a la seguridad de la información. Se producía además en un momento complejo con un aumento significativo de ciberincidentes. Conscientes de la necesidad de armonizar unas reglas de juego en el ámbito de la ciberseguridad, se hacía pública la Directiva 2016/1148 sobre seguridad en las redes y sistemas de la información, que perseguía crear una homogeneización en esta materia entre todos los estados miembros de la Unión Europea.
La conocida como Directiva NIS suponía un gran avance en aspectos tan importantes como los de la colaboración entre entidades y la transparencia a la hora de afrontar incidentes de ciberseguridad. Además, tratando de sentar las bases para la aplicación de unas medidas con el que enfrentarse a unos riesgos que se mostraban incipientes ante el auge de los grupos de ciberdelincuencia. España puso en marcha su aplicación mediante la transposición de la Directiva NIS con el Real Decreto Ley 12/2018 de seguridad de las redes y sistemas de información.
Pese a lo importante e innovador de la Directiva, algo no acaba de encajar. Con la pandemia por medio y los cambios en la metodología por el cual los grupos de ciberdelincuencia impactaban en las sociedades de los distintos países en la Unión Europea, se hacía evidente la necesidad de una evolución. En el año 2022 se producían dos hechos relevantes en el ámbito normativo de la seguridad de la información. Uno era la evolución de la Directiva NIS, mediante su revisión y sustitución por la directiva 2022/2555, la NIS 2. En el escenario nacional se hacía público el nuevo Esquema Nacional de Seguridad, que, tras 12 años desde la aparición de su predecesor, requería también una evolución.
Ambas normas confluían en la adopción de una nueva estrategia de ciberseguridad enfocada en unos pilares fundamentales:
-La necesidad de conocernos a nosotros mismos a través de una evaluación de riesgos “sincera”. Durante muchos años el análisis de riesgos parecía un mero trámite que se hacía no por convencimiento, sino como algo que exigen las normas y para lo cual había que cubrir expediente.
Todos somos susceptibles de ser atacados y las distintas autoridades quieren que colaboremos
-El adoptar un modo preventivo real. O mejor aún, una modalidad de índole predictiva. No podemos esperar a tener que reaccionar solo cuando identifiquemos un incidente. Tampoco el aplicar medidas de forma empática porque lo hace el de al lado. El de al lado tiene sus problemas y sus soluciones, y no tienen por qué coincidir con las nuestras. Debemos aplicar unas medidas de seguridad y unos procesos operacionales acorde a lo que somos, a lo que protegemos y a lo que ofrecemos.
-Transparencia y humildad con respecto a los ciberincidentes. Todos somos susceptibles de ser atacados, y las distintas autoridades quieren que colaboremos. Que luchemos juntos contra unos adversarios cada vez más fuertes. Uno de los elementos que se busca con más ahínco es la de compartir con el fin de progresar, permitiendo que nuestra experiencia pueda servir al resto. Algo similar sucede con la detección de vulnerabilidades y su corrección.
-Somos lo que somos, por nosotros y por nuestras circunstancias. En el mundo actual, cualquier entidad tiene numerosas empresas colaboradoras que le permiten crecer y en algunos casos, son incluso parte neurálgica para su operativa diaria. Sin embargo, hemos visto como los atacantes han atisbado la brecha a través de esa cadena de suministro, que en ocasiones es más débil. Por este motivo las normativas, y entre ellas la NIS 2, ponen el foco en la necesidad de control y el aseguramiento en la cadena. Hay un fin fundamental. Dificultar que un adversario pueda encontrar de forma sencilla un eslabón débil.
La aparición de la Directiva NIS 2 en 2022 requería tal y como establece las normas de la Unión Europea la necesidad de la transposición al ordenamiento jurídico de cada país. Daban para ello un plazo en apariencia generoso para dicha transposición. Octubre de 2024. Pero la nueva norma implicaba cambios significativos y acuerdos complejos, que no son precisamente sencillos de aterrizar.
A mediados de enero de este año 2025 y tras un largo proceso de análisis y consultas, el Gobierno anunciaba, todavía como anteproyecto, una Ley para la Coordinación y Gobernanza de la Ciberseguridad, que lleva a nuestro ordenamiento la Directiva NIS 2 de la Unión Europea.
Se recogen importantes cambios en este anteproyecto, que tienen como no puede ser de otra forma su inspiración en la NIS 2. En primer lugar, la ampliación de su aplicabilidad a numerosos sectores, muchos de los cuales no se contemplaban siquiera en el anterior Real Decreto Ley que transponía la primera Directiva NIS. Además, se establece una división entre entidades esenciales e importantes, que tienen requisitos diferentes y por ende, una afectación diferencial en lo que respecta al cumplimiento de la norma. El tamaño de la empresa y su pertenencia a determinados sectores definirán en gran medida su reconocimiento como entidad esencial o importante. Aunque también la norma deja espacio para que las autoridades puedan requerir que una entidad bien por ser estratégica o bien por su especialización, pueda ser catalogada como esencial o importante cuando a priori no debería serlo por sector.
El anteproyecto pone el foco en la creación de un nuevo organismo: el Centro Nacional de Ciberseguridad
Además, sienta las bases para algo tan habitual como la necesidad de contar con un responsable de seguridad o un órgano colegiado, al que se le atribuye las 10 funciones fundamentales concretas para dicho rol. Ya no hay rodeos a la hora de saber cuáles son las funciones que debe tener un responsable de seguridad, o el órgano colegiado que asuma esas funciones. Se incluyen entre ellas las de velar por el cumplimiento de empresas externas y proveedores, con los criterios de seguridad de la información establecidos por la entidad. También está entre ellas la de ser el punto de contacto y coordinación con las autoridades de control y los CSIRT nacionales de referencia.
Y esta coordinación con las autoridades y CSIRT se convierte un elemento core en el anteproyecto de Ley. Sabemos perfectamente que las relaciones son uno de los puntos más complejos de llevar a cabo. Requiere de una correcta vertebración y asignación de responsabilidades para que una ley sea funcional. El anteproyecto pone el foco en la creación de un nuevo organismo con el que llevar a cabo la aplicación de esta norma y llevar la relación con los diferentes actores, incluyendo a la Unión Europea y los homónimos de otros países. Este nuevo organismo será el Centro Nacional de Ciberseguridad, aunque no se han definido aún de forma completa todas las competencias.
El anteproyecto incide además en los aspectos fundamentales que mencionábamos previamente:
-El análisis de situación desde la evaluación de los riesgos.
-La aplicación de medidas acorde a la identificación de dichos riesgos y a adoptar unos procedimientos operativos de seguridad según unos estándares actualizados. Aunque la norma no establece medidas técnicas concretas, si recoge en su artículo 15 los objetivos fundamentales que se persiguen, así como su aplicabilidad a través de framework de seguridad contrastados tanto a nivel nacional como internacional y que serán determinados por el Centro Nacional de Seguridad. Un ejemplo es la adopción del nuevo Esquema Nacional de Seguridad del año 2022 como elemento clave para el cumplimiento de la normativa NIS 2.
-La necesidad de reaccionar adecuadamente ante un incidente o a algo que pueda parecerlo. Se introduce un concepto interesante recogido en la Directiva NIS 2: el “cuasiincidente”. Además, se establecen plazos muy concretos para informar a las autoridades. El primero de ellos es de 24 horas máximo para notificar de la existencia de un incidente significativo mediante una alerta. Esas 24 horas contabilizan desde el momento en el que la entidad tiene constancia del incidente. El segundo plazo prefijado son 72 horas máximo para una notificación completa con los detalles del incidente, afectación y si los hubiera, los indicadores potenciales de compromiso. Lo dicho ya, la importancia de comunicar cobra un peso muy importante en este anteproyecto, y ocultar información supone un incumplimiento directo.
-La cadena de suministro es recogida como una de las medidas importantes a considerar. Debemos pensar, por lo tanto, en el ámbito de la ciberseguridad como un todo, en el que solo ganamos si nos fortalecemos conjuntamente y observamos que aquellos que colaboran con nosotros también lo hacen.
Las organizaciones deben prepararse para saber si les aplica directamente, y si somos parte de una cadena de suministro de una entidad afectada
Y como no, toda Ley que se precie establece dos conceptos fundamentales: la responsabilidad y las repercusiones por su incumplimiento. En lo relativo a la responsabilidad el artículo 35 del anteproyecto, establece que los miembros de los órganos de dirección de las entidades responderán solidariamente de las infracciones que estas comentan. Y como en muchos otros aspectos de evolución de la norma, el régimen sancionador, también ha cambiado. La anterior Directiva NIS fijaba unas cuantías de hasta 1 millón de euros en sanciones para las muy graves. La nueva Directiva, y por lo tanto también está reflejado en su transposición, eleva la cantidad a la nada desdeñable cifra de 10 millones de euros o el 2% de la facturación. Lo que sea mayor.
Estas cifras nos indican que esto va muy en serio y las organizaciones deben prepararse adecuadamente. Primeramente, saber si les aplica directamente, pero también saber si somos parte de una cadena de suministro de una entidad afectada. En abril de este mismo año se establecerán los listados de entidades esenciales e importante. Y en segundo lugar, adaptarnos a lo que plantea el anteproyecto: llevar a cabo los análisis de riesgos necesarios, establecer los mecanismos de cómo comunicar, crear los órganos o responsables de seguridad si no existen y establecer los procedimientos operativos necesarios. Como podemos ver, los plazos a los que enfrentarse son muy justos y no hay tiempo que perder.
Por nuestra parte, desde Izertis, ya estamos preparados. Somos conscientes de la necesidad y ventaja que supone adaptarse a normas como esta, ya que, desgraciadamente, hemos tenido que ayudar a muchas entidades que se han visto afectadas, a veces por incidentes y otras por cuasiincidentes. Hemos colaborado con muchas organizaciones en la implementación de normas tales como el Esquema Nacional de Seguridad, la Directiva DORA o la ISO 27001, por poner algún ejemplo. Pero como esto no para, también estamos listos para la adopción de otras que están ya en marcha, como la directiva CRA. Y como parte de nuestro ADN siempre en constante mejora para lo que el futuro nos depare.