En un mundo caracterizado por la interconexión digital y una creciente dependencia de la tecnología, la ciberseguridad ha emergido como una preocupación esencial para naciones de todo planeta. En este contexto, España ha forjado un camino sólido hacia la protección de sus infraestructuras críticas y la salvaguardia de su entorno digital e industrial a través de una serie de estrategias y marcos regulatorios integrales. Este artículo se adentra en la compleja red que compone la ciberseguridad nacional en España, explorando cuatro pilares fundamentales: la Estrategia de Ciberseguridad Nacional, la Ley de Protección de Infraestructuras Críticas, el Esquema Nacional de Seguridad y la Directiva NIS (Seguridad de las Redes y la Información).
Qué requisitos se deben aplicar según el tipo de organización
En la siguiente tabla se muestran los requerimientos legales de ciberseguridad a implementar según el tipo de organización:
Es necesario comentar que hay empresas que pueden contar con varias situaciones nombradas en la tabla simultáneamente. Por ejemplo, las infraestructuras críticas siempre prestan servicios esenciales, pero existen operadores de servicios esenciales que no cuentan con ninguna infraestructura crítica.
Estrategia de Ciberseguridad Nacional
Dicha estrategia define las directrices y líneas generales de actuación para hacer frente a la vulnerabilidad del ciberespacio. Este diseña un modelo de gobernanza para la Ciberseguridad Nacional aplicable a tanto empresas públicas como privadas que operan en sectores considerados como infraestructuras críticas especialmente, aunque también abarca a cualquier entidad que haga uso de las TIC.
La Estrategia cuenta con cinco objetivos generales de aplicación a todos los ámbitos: La gestión de crisis, la cultura de Seguridad Nacional, los espacios comunes globales, el desarrollo tecnológico y la proyección internacional del país.
Ley y Reglamento de protección de infraestructuras críticas (LPIC)
El propósito de esta Ley es establecer las estrategias y requisitos necesarios para orientar y sincronizar las acciones de los diversos entes de las Administraciones Públicas para el aseguramiento de infraestructuras críticas. Para ello, se deben identificar y designar dichas infraestructuras con el fin de mejorar la capacidad preventiva, de preparación y de respuesta del Estado ante ataques terroristas u otros peligros que impacten sobre dichas infraestructuras.
Del mismo modo, la Ley regula las obligaciones que deben asumir tanto las Administraciones Públicas como sus operadores que hayan sido determinados como infraestructuras críticas.
El propósito del reglamento es expandir, concretar y detallar los elementos abordados en la mencionada Ley, considerando la esencial coordinación entre los órganos y entidades tanto públicas como del ámbito privado. Además, se buscará diseñar un enfoque estratégico destinado a prevenir y resguardar las infraestructuras críticas ante las posibles amenazas o actos terroristas que puedan afectar a las tecnologías de la información y las comunicaciones.
Esquema Nacional de Seguridad (ENS)
El Esquema Nacional de Seguridad desarrolla el derecho del ciudadano a poder acceder de forma telemática y segura a los servicios proporcionados por las administraciones públicas, fomentar la confianza en el uso de medios electrónicos por parte de los ciudadanos al interactuar con las Administraciones Públicas, establecer estándares comunes de seguridad en tecnologías de la información para las entidades gubernamentales, unificar el lenguaje para facilitar la comunicación entre distintas Administraciones y transmitir requisitos de seguridad a la industria, estimular la gestión constante de la seguridad, promover la anticipación, identificación y solución de problemas para fortalecer la capacidad de respuesta frente a amenazas y ataques cibernéticos y servir como un ejemplo de mejores prácticas.
El Esquema Nacional de Seguridad aplica las organizaciones del sector público y las del sector privado que les presten servicios.
Ley de Seguridad de las redes y sistemas de información (NIS)
Esta Ley es conocida como la Directiva NIS, su principal objetivo es la aplicación de medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la unión europea. Esta directiva exige la cooperación entre los Estados miembros para enfrentar amenazas cibernéticas transfronterizas y garantizar la resiliencia digital a nivel europeo. España, alineada con estos objetivos, ha implementado medidas para fortalecer la seguridad de sus redes e infraestructuras digitales en línea con los estándares establecidos.
La NIS aplica a los operadores de servicios esenciales como a los proveedores de servicios digitales.
Beneficios de la implementación
La implementación de las legislaciones comentadas en el presente articulo conllevan una serie de beneficios clave para la ciberseguridad y la protección de infraestructuras críticas:
- Aumento resiliencia cibernética: Una organización fortalece su capacidad para resistir y recuperarse rápidamente de ataques cibernéticos, lo que reduce el tiempo de inactividad y minimiza las interrupciones en las operaciones comerciales.
- Mejora de la protección de datos y privacidad: Cumplir con estas regulaciones contribuye a proteger la información confidencial y la privacidad de los clientes y empleados, lo que refuerza la confianza en la organización.
- Reducción de riesgos financieros y legales: La implementación adecuada de estas iniciativas reduce el riesgo de multas y sanciones legales por incumplimiento de regulaciones de ciberseguridad, lo que ahorra costos legales y financieros.
- Mejora de la reputación: El cumplimiento de las regulaciones de ciberseguridad muestra a los clientes y socios comerciales que la organización se toma en serio la seguridad de sus datos y operaciones, lo que mejora la reputación de la empresa.
- Eficiencia operativa: La implementación de estándares de seguridad puede ayudar a optimizar los procesos internos, identificar vulnerabilidades y reducir el riesgo de interrupciones costosas.
- Coordinación mejorada: Las regulaciones promueven la colaboración entre diferentes departamentos y equipos dentro de la organización, lo que puede mejorar la coordinación en la gestión de incidentes de ciberseguridad.
- Mejora en la gestión de proveedores: El cumplimiento de estas regulaciones a menudo implica evaluar y garantizar la seguridad de los proveedores y terceros, lo que reduce el riesgo de comprometerse con socios no seguros.
- Preparación para amenazas emergentes: La constante actualización de estas regulaciones garantiza que la organización esté preparada para enfrentar nuevas y cambiantes amenazas cibernéticas a medida que surgen.
En conjunto, la implementación de estas iniciativas contribuye a una ciberseguridad más sólida, la protección de infraestructuras críticas y la resiliencia frente a amenazas cibernéticas, lo que es fundamental para la seguridad y el bienestar de una nación.
Aunque estos requerimientos legales son de obligatorio cumplimiento para las organizaciones a las que se les designe, la ciberseguridad OT puede ser aumentada con la aplicación de estándares que ayuden a una mejor protección. Sin embargo, cualquier compañía que quiera aumentar su nivel de seguridad cibernética a pesar de no aplicarle ninguna de las normativas nombradas pueden también implantar dichos estándares. Éstos se analizarán en el siguiente articulo: “Asegurando la Resiliencia en Industrial: Implementación de normas de seguridad en el mundo OT”.
Referencias
- BOE-A-2011-7630 Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas. (s/f). Boe.es. Recuperado el 29 de agosto de 2023, de https://www.boe.es/eli/es/l/2011/04/28/8/con
- BOE-A-2019-6347 Orden PCI/487/2019, de 26 de abril, por la que se publica la Estrategia Nacional de Ciberseguridad 2019, aprobada por el Consejo de Seguridad Nacional. (s/f). Boe.es. Recuperado el 29 de agosto de 2023, de https://www.boe.es/buscar/doc.php?id=BOE-A-2019-6347
- Disposiciones, I., Presidencia, L. A., Con, R., & Cortes, L. (s/f). BOLETÍN OFICIAL DEL ESTADO. Boe.es. Recuperado el 29 de agosto de 2023, de https://www.boe.es/boe/dias/2019/04/30/pdfs/BOE-A-2019-6347.pdf
- EUR-Lex - 32016L1148 - EN - EUR-Lex. (s/f). Europa.Eu. Recuperado el 29 de agosto de 2023, de https://eur-lex.europa.eu/legal-content/ES/TXT/?uri=uriserv:OJ.L_.2016.194.01.0001.01.SPA&toc=OJ:L:2016:194:TOC
- Sobre, G., De, C., En, S., & Ot, S. (s/f). Ismsforum.es. Recuperado el 29 de agosto de 2023, de https://www.ismsforum.es/ficheros/descargas/maquetaguiaotv101621955967.pdf
- CNPIC. (s/f). Gob.es. Recuperado el 31 de agosto de 2023, de https://cnpic.interior.gob.es/opencms/es/legislacion/normativa-pic/
Autor: Marina Talló - ISO 27001 L.A., ISO 22301 L.A., CDPP
Dpto. de Consultoría
