Los plazos para la trasposición de la Directiva EU 2022/2555, conocida como NIS 2, ya han empezado a correr y los organismos encargados de su trasposición se enfrentan al reto de buscar soluciones a los desafíos que supone esta nueva normativa, cuyo objetivo final es conseguir un elevado nivel de ciberseguridad en todos los países de la Unión Europea.
Para ello se han identificado todos los sectores de alta criticidad (11) y otros sectores críticos (7), y dentro de éstos se han clasificado a las entidades en esenciales e importantes. Toda empresa mediana o grande que esté dentro de estos sectores se verá afectada por la nueva ley resultante de la trasposición. Eso sí, he de destacar que, desde el punto de vista de la ciberseguridad, la directiva no distingue de forma especial a las entidades o infraestructuras críticas, relegando este concepto a la Directiva EU 2022/2557, donde se tratan los aspectos de la seguridad física.
El principal reto será para las miles de empresas que se van a ver afectadas por la norma, las cuales tendrán que hacer frente de una forma más rigurosa y formal a las tareas de gobernanza de la ciberseguridad y a nuevas obligaciones de notificación sobre los ciberincidentes que les puedan afectar.
Medidas de ciberseguridad en la NIS 2
La Directiva establece a alto nivel las medidas de ciberseguridad que se deben implantar. La aproximación a cómo exigir a las organizaciones que cumplan con ellas es uno de los temas de trabajo de trasposición más importantes, dado el gran impacto que puede tener. Un alto nivel de exigencia supondría conseguir un mayor nivel de ciberseguridad, pero también un mayor esfuerzo para las compañías el conseguirlo. Por el contrario, un nivel bajo de exigencia puede ser mucho más deseable, pero dejaría a las empresas poco protegidas frente a las crecientes amenazas de ciberseguridad. Todo apunta a que, para conseguir la necesaria proporcionalidad, se intentará encontrar una solución que sea flexible y adaptable a los distintos sectores, ya sea por la vía de los perfiles de cumplimiento específico del Esquema Nacional de Seguridad o de directrices de normas internacionales.
Exigir y verificar el cumplimiento de la nueva ley será un reto para la Administración
Exigir y verificar el cumplimiento de la nueva ley será, por otro lado, un reto para las administraciones públicas encargadas de esta tarea. La normativa actual establece muchas autoridades competentes, pero la realidad es que, en general, cuentan con pocos medios para poder entrar en el mundo de la ciberseguridad de sus sectores. En este sentido, uno de los retos del grupo de trasposición será revisar el número de autoridades competentes necesarias y buscar la forma de facilitar el cumplimiento de su labor de supervisión y control sobre cada ámbito de competencia. La exigencia de una certificación de las medidas de ciberseguridad sería un buen camino para facilitar la labor de supervisión, sin necesidad de crear nuevos grupos de trabajo con expertos en ciberseguridad asociados a cada autoridad competente.
Gobernanza
Una vez revisadas y establecidas las autoridades competentes, la Directiva plantea la necesidad de que haya una autoridad que las coordine. Aunque en la Estrategia Nacional de Ciberseguridad en vigor (2019) se establece que el Consejo Nacional de Ciberseguridad (CNCS), a través de su Comité Permanente, se encargará de la coordinación, la realidad es que no lo puede hacer. La Ley de Seguridad Nacional establece que el CNCS es un órgano consultivo del Consejo de Seguridad Nacional y no tiene mandato para poder realizar funciones de coordinación.
En situaciones de crisis, el Consejo de Seguridad Nacional, a través del Comité de Situación, tiene la capacidad de coordinar y dirigir la actuación de todos los elementos necesarios para hacer frente a cualquier tipo de crisis. Pero la realidad es que, en el día a día, hay muchos ciberincidentes que son críticos, pero que no activan la intervención del Consejo de Seguridad Nacional, haciendo necesaria la figura de un órgano de menor nivel que sea capaz de coordinar a nivel operacional a las autoridades competentes y a los CSIRT de referencia.
El problema de la gobernanza de la ciberseguridad al más alto nivel, por tanto, no tiene una fácil solución. Entre los caminos posibles se podría plantear la modificación de la Ley de Seguridad Nacional para dar competencias al CNCS y que pueda ejercer funciones de coordinación en determinadas situaciones. Otra opción, elegida por los países más avanzados en ciberseguridad (Francia, Italia, Alemania…), es la creación de una Agencia de Ciberseguridad Nacional. En cualquier caso, será necesario que estas decisiones se tomen al más alto nivel.
Otro problema similar al que deberá buscar solución la trasposición es la necesidad de que haya coordinación a nivel técnico. Actualmente, España está dividida en tres sectores de responsabilidad desde el punto de vista técnico de la ciberseguridad, correspondiéndose con los tres CERT de referencia: CCN-CERT para el sector público, Incibe-CERT para el sector privado/ciudadano y ESPDEF-CERT para el sector de la defensa. Su dependencia de distintos ministerios hace que trabajen con un nivel de coordinación muy mejorable, creándose nichos en los que se trabaja con distintos objetivos, a distinta velocidad y con distinto nivel de capacidades y servicio. No va a ser fácil encontrar una fórmula en la trasposición que permita mejorar la coordinación técnica de los CERT de referencia.
El camino para esta mejora de la coordinación, posiblemente, pueda venir por el uso de herramientas que permitan una gestión y tratamiento de los ciberincidentes de forma centralizada, como la Plataforma Nacional de Notificación y Seguimiento de Ciberincidentes. Esta plataforma podría constituirse en un repositorio de información de ciberseguridad con el que poder coordinar y gestionar los ciberincidentes a nivel nacional, facilitando la coordinación con las autoridades competentes y con los órganos de dirección que se establezcan (Departamento de Seguridad Nacional, Oficina de Coordinación de Ciberseguridad, etcétera).
Finalmente, cabe destacar que la NIS 2 establece las medidas mínimas a cumplir, no limitando a los países a establecer otras que puedan mejorar su nivel de ciberseguridad. En este sentido, el Centro Criptológico Nacional está desplegando un escudo de protección de ciberseguridad: la Red Nacional de Centros de Operaciones de Seguridad (RNS). Esta Red dispone de los medios necesarios para que se comparta información de actividad sospechosa o confirma y permite que todos los SOC que la componen puedan adoptar medidas de protección en tiempo oportuno para defenderse de ataques.
La trasposición debería incorporar y reconocer la RNS como un elemento estratégico más de la ciberseguridad a nivel nacional.
