Red Seguridad 108

10 red seguridad primer trimestre 2025 organismos Durante los últimos cinco años, la Unión Europea ha impulsado una legislación amplia y diversa en ciberseguridad para fortalecer la seguridad de productos, servicios, sistemas y entidades en todo su territorio. En este marco, la Directiva (UE) 2022/2555, NIS2, en proceso de transposición y con un anteproyecto de ley disponible, plantea una serie de retos para España que debemos afrontar. En primer lugar, y con respecto a la ampliación a 18 de los sectores inclui- dos en el ámbito de aplicación, parece un objetivo alcanzable. Sobre todo, te- niendo en cuenta que nuestro país ya había ampliado de seis a 12 los secto- res iniciales de la NIS1. No obstante, la determinación por defecto de entidades esenciales e importantes según factura- ción y número de empleados hace que la cifra de organismos y empresas se incremente exponencialmente, pasando de centenares a varios miles de enti- dades afectadas. Su registro es un reto importante para las autoridades compe- tentes, por lo que se está trabajando en nuevas funcionalidades de la Plataforma Nacional de Notificación y Seguimiento de Ciberincidentes (PNNSC). Sin embargo, el desafío más significa- tivo planteado por la NIS2 es la aplica- ción de las medidas para la gestión de riesgos de ciberseguridad establecidas en su artículo 21 y los actos de ejecu- ción a adoptar (artículo 21.5). Para su aplicación y la demostración de cumpli- miento que en las entidades esenciales debe ser mediante certificación, el ante- proyecto de ley ofrece el Esquema Na- cional de Seguridad (ENS) o una norma internacional. Desde el Centro Criptoló- gico Nacional (CCN) se está trabajando intensamente para utilizar la certifica- ción del ENS como demostración de este cumplimiento, estableciendo que cualquier entidad que dispusiera de una certificación de categoría MEDIA o ALTA cumpliría con este requisito establecido en la Directiva europea. También se está trabajando en saltos intermedios, como los perfiles de cum- plimiento, y en automatizar los procesos y las evidencias en la plataforma de go- bierno INES/AMPARO para facilitar a las entidades esta demostración que, a mi juicio, es el salto de calidad más impor- tante que tenemos que afrontar. Salto rápido y eficiente Siguiendo con los retos, la notificación de ciberincidentes, el intercambio de cuasi incidentes, vulnerabilidades, in- dicadores de compromiso o buenas prácticas son otros asuntos en los que España puede dar un salto rápido y efi- ciente gracias a su gran experiencia en la materia (la PNNSC o la Red Nacional de SOC son buena prueba de ello). Además, la Directiva busca otros obje- tivos como la gestión de crisis; asunto en el que nuestro país también cuenta con una valiosa experiencia. La guía CCN- STIC 817 del CCN y sus buenas prácticas de gestión de crisis con procedimientos pueden extenderse perfectamente a la NIS2. Por último, debemos hacer referencia a lo que ha sido el principal motivo de retraso de la transposición: el modelo de gobernanza exigido por la Unión Euro- pea. Mientras que la Directiva establece un enfoque centralizado, en España se había optado inicialmente por un mo- delo descentralizado. Esta diferencia ha requerido una adaptación por parte de los actores a este nuevo requisito. En resumen, la transposición de esta Directiva no solo refuerza nuestra ca- pacidad de defensa, sino que también nos posiciona como un referente en ci- berseguridad en la Unión Europea. Apro- vechar nuestra experiencia y fortalezas nos permitirá avanzar con firmeza hacia un ecosistema más seguro y consolidar a España entre los países más ciberse- guros de la Unión. Javier Candau ADJUNTO AL SUBDIRECTOR GENERAL DEL CENTRO CRIPTOLÓGICO NACIONAL Impacto de la transposición de la Directiva NIS2 en España