Durante los últimos cinco años, la Unión Europea ha impulsado una legislación amplia y diversa en ciberseguridad para fortalecer la seguridad de productos, servicios, sistemas y entidades en todo su territorio. En este marco, la Directiva (UE) 2022/2555, NIS2, en proceso de transposición y con un anteproyecto de ley disponible, plantea una serie de retos para España que debemos afrontar.
En primer lugar, y con respecto a la ampliación a 18 de los sectores incluidos en el ámbito de aplicación, parece un objetivo alcanzable. Sobre todo, teniendo en cuenta que nuestro país ya había ampliado de seis a 12 los sectores iniciales de la NIS1. No obstante, la determinación por defecto de entidades esenciales e importantes según facturación y número de empleados hace que la cifra de organismos y empresas se incremente exponencialmente, pasando de centenares a varios miles de entidades afectadas. Su registro es un reto importante para las autoridades competentes, por lo que se está trabajando en nuevas funcionalidades de la Plataforma Nacional de Notificación y Seguimiento de Ciberincidentes (PNNSC).
Sin embargo, el desafío más significativo planteado por la NIS2 es la aplicación de las medidas para la gestión de riesgos de ciberseguridad establecidas en su artículo 21 y los actos de ejecución a adoptar (artículo 21.5). Para su aplicación y la demostración de cumplimiento que en las entidades esenciales debe ser mediante certificación, el anteproyecto de ley ofrece el Esquema Nacional de Seguridad (ENS) o una norma internacional. Desde el Centro Criptológico Nacional (CCN) se está trabajando intensamente para utilizar la certificación del ENS como demostración de este cumplimiento, estableciendo que cualquier entidad que dispusiera de una certificación de categoría MEDIA o ALTA cumpliría con este requisito establecido en la Directiva europea.
También se está trabajando en saltos intermedios, como los perfiles de cumplimiento, y en automatizar los procesos y las evidencias en la plataforma de gobierno INES/AMPARO para facilitar a las entidades esta demostración que, a mi juicio, es el salto de calidad más importante que tenemos que afrontar.
Salto rápido y eficiente con la transposición de la Directiva NIS2
Siguiendo con los retos, la notificación de ciberincidentes, el intercambio de cuasi incidentes, vulnerabilidades, indicadores de compromiso o buenas prácticas son otros asuntos en los que España puede dar un salto rápido y eficiente gracias a su gran experiencia en la materia (la PNNSC o la Red Nacional de SOC son buena prueba de ello).
Además, la Directiva busca otros objetivos como la gestión de crisis; asunto en el que nuestro país también cuenta con una valiosa experiencia. La guía CCN-STIC 817 del CCN y sus buenas prácticas de gestión de crisis con procedimientos pueden extenderse perfectamente a la NIS2.
Por último, debemos hacer referencia a lo que ha sido el principal motivo de retraso de la transposición: el modelo de gobernanza exigido por la Unión Europea. Mientras que la Directiva establece un enfoque centralizado, en España se había optado inicialmente por un modelo descentralizado. Esta diferencia ha requerido una adaptación por parte de los actores a este nuevo requisito.
En resumen, la transposición de esta Directiva no solo refuerza nuestra capacidad de defensa, sino que también nos posiciona como un referente en ciberseguridad en la Unión Europea. Aprovechar nuestra experiencia y fortalezas nos permitirá avanzar con firmeza hacia un ecosistema más seguro y consolidar a España entre los países más ciberseguros de la Unión.
