La ciberseguridad se ha convertido en una de las prioridades en relación con la seguridad de los españoles. ¿Qué avances necesita nuestro país en esta materia y cómo trabaja el Ministerio del Interior para abordarlos en el marco de sus competencias?
La lucha contra la cibercriminalidad es una prioridad estratégica del Ministerio del Interior porque es esencial para salvaguardar nuestra seguridad, la personal y la colectiva, en la era digital. La ciberdelincuencia es una amenaza para la integridad de nuestras instituciones, la privacidad de la ciudadanía, la indemnidad de los más vulnerables, como los menores o las personas mayores, y la estabilidad económica.
Desde 2018 hemos dado pasos muy importantes y tenemos más medios para luchar contra el cibercrimen. Las unidades de Policía Nacional y Guardia Civil especializadas en ciberseguridad han crecido un 90 por ciento y hoy cuentan con casi 1.400 agentes entre ambos cuerpos. En 2021 aprobamos el primer Plan Estratégico contra la Cibercriminalidad, a partir del cual las Fuerzas de Seguridad elaboran y ejecutan sus propios planes de acción operativos. Sabemos que debemos fortalecer nuestras defensas y en eso tenemos puesto el foco.
El Ministerio del Interior trabaja en la trasposición al ordenamiento jurídico español de la Directiva NIS 2 y la Directiva de Resiliencia de las Entidades Críticas (CER). ¿Qué impacto prevén que tengan dichas trasposiciones para mejorar la seguridad y ciberseguridad en España?
Son dos directivas complementarias. La primera impone unos requisitos exhaustivos a un amplio conjunto de entidades para garantizar unos niveles adecuados de ciberseguridad, mientras que la segunda busca garantizar la prestación de servicios que son esenciales para el desarrollo de la actividad económica y social de los Estados miembros de la Unión Europea.
Estas directivas pretenden garantizar un elevado nivel común de ciberseguridad en toda la UE, y ese es un paso adelante muy importante porque reforzarán nuestra capacidad de superar amenazas actuales como los ciberataques que a veces sufren las infraestructuras críticas europeas, ataques que intentan socavar nuestra seguridad colectiva.
En definitiva, estas directivas nos ayudan a garantizar una UE, y por tanto una España, más seguras y fuertes frente a la delincuencia, tanto la tradicional como la que nos ataca a través del ciberespacio. La creciente interconexión e interdependencia entre las infraestructuras físicas y las digitales nos obliga a adoptar un enfoque más coherente y uniforme en materia de seguridad.
¿Cuándo está previsto que vean la luz las trasposiciones de dichas directivas?
La Comisión Europea ha fijado un plazo de transposición que concluye en octubre de 2024. Estamos trabajando ya para incorporar ambas directivas a la legislación nacional antes de que venza ese límite.
¿Qué medidas prevé llevar a cabo el Ministerio del Interior para elevar el nivel de protección de las infraestructuras críticas y estratégicas españolas, al margen de los cambios legislativos que se produzcan con la transposición de las Directivas CER y NIS 2?
La Oficina de Coordinación de Ciberseguridad del Ministerio del Interior ejecuta ya las medidas incluidas en su propio Plan de Acción Operativo. A corto plazo, se van a crear canales seguros entre esta oficina y los operadores esenciales para reforzar sus mecanismos de cooperación y aumentar su eficacia.
A medio y largo plazo, es inevitable que las medidas que adoptemos se adapten a las conclusiones que vayamos obteniendo en el proceso de trasposición de las dos directivas comunitarias. Ya se actuó así en el pasado. En 2008, España aprovechó la trasposición de la Directiva 2008/114, sobre la identificación y designación de infraestructuras críticas europeas, para poner en marcha el Sistema de Protección de Infraestructuras Críticas para su defensa integral, que se convirtió en modelo de referencia internacional. España ha dado muestras de su capacidad para establecer elevados marcos de seguridad en beneficio de sus ciudadanos, de sus servicios esenciales y de los mercados, y volveremos a hacerlo.
Al ser una cuestión transversal, son varios los ministerios y organismos implicados en la ciberseguridad. Teniendo esto en cuenta, ¿cuál debe ser la estructura de gobernanza de la ciberseguridad en España? ¿Quién debe liderar este asunto y cómo debe abordarse?
España tiene un déficit de gobernanza de su modelo de ciberseguridad, es cierto. Es en efecto una cuestión transversal, y el Ministerio del Interior apuesta por la creación de una agencia autónoma de ciberseguridad que aglutine a todos los actores implicados y en la que este ministerio debe jugar un papel protagonista, pero esa es una decisión que compete al Gobierno en su conjunto.