Álvaro de Lossada Torres-Quevedo, jefe de la Oficina de Coordinación de Ciberseguridad.
Álvaro de Lossada Torres-Quevedo Jefe Oficina de Coordinación de Ciberseguridad

Tres apuntes sobre la nueva normativa de ciberseguridad

Ley Orgánica 7 2021_protección de datos

El nombre del anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad muestra la primera necesidad identificada por el grupo responsable de los trabajos de trasposición: aprovechar la oportunidad para caminar hacia una ciberseguridad mejor gobernada y más coordinada, indispensable para abordar la creación de un esquema coherente de medidas concretas de ciberseguridad.

Se crea por primera vez un organismo que ejercerá como autoridad nacional competente única con la misión de impulsar, coordinar y dirigir la ciberseguridad en España: el Centro Nacional de Ciberseguridad, adscrito al Gabinete de la Presidencia del Gobierno. Será un centro con capacidad de dirección sobre todos los actuales actores públicos, que mantienen sus funciones ejecutivas, para evitar duplicidades y racionalizar los recursos existentes.

Coordinación NIS2-CER

La ciberseguridad opera en un plano diferente al de la seguridad física y, por su especificidad y alta especialización, requiere un tratamiento experto, diferenciado y no subordinado a ella. Así lo pone de manifiesto el enfoque de todos los peligros posibles de la NIS2, que no se aplica solo a las redes y sistemas de información, sino también a sus componentes físicos y su entorno en todas las entidades esenciales e importantes, incluidas las críticas.

Dadas las evidentes interrelaciones entre la ciberseguridad y la seguridad física de las entidades, debe garantizarse un enfoque coherente entre las directivas NIS2 y CER. Se ha logrado este objetivo con pleno respeto a su espíritu y letra, así como a la hiperespecialización de la ciberseguridad, excluyendo del ámbito de aplicación CER las materias reguladas en el anteproyecto y garantizando un marco de coordinación entre las autoridades de ambos ámbitos.

Acreditaciones

Se aborda la necesidad de ejercer un mínimo control estatal sobre determinado personal de ciberseguridad, cuyo trabajo puede tener importantes implicaciones en la seguridad pública. De la misma forma que se comprueba la honorabilidad y carencia de antecedentes de los ingenieros y técnicos de seguridad privada, también debe seguirse ese protocolo con quienes realizan una labor de mucho mayor impacto potencial en la seguridad pública, como el personal de ciberseguridad de un aeropuerto, por mencionar un ejemplo.

Con ese único fin, se establece, para el personal de ciberseguridad de las entidades críticas y los responsables de seguridad de la información de las esenciales, la obligación de acreditarse ante el Ministerio del Interior, dentro de su ámbito competencial de control de la prestación de servicios privados de seguridad, que no está limitado a los de seguridad física, sino que incluye a los servicios de seguridad informática. Esto se hace bajo la premisa de mínima injerencia, con una figura que no supone imposición de una determinada formación o capacitación, requisitos adicionales, ni el establecimiento de otras funciones que las del anteproyecto de ley.

Finalmente, se trata de un anteproyecto sólido, que se enriquecerá más en las siguientes fases hasta su aprobación y que necesitará de desarrollo reglamentario, pero que sienta las bases de un modelo integrador de todos los actores implicados, mejor gobernado, más coordinado, que traspone por completo la NIS2 y que contribuirá decisivamente a lograr un elevado nivel de ciberseguridad en la Unión Europea.