A través de las Directivas 2022/2557 y 2022/2555, CER y NIS 2 respectivamente, por sus siglas en inglés, el legislador europeo trata de ordenar algunas cuestiones referidas a la seguridad de los servicios esenciales afrontándola desde dos puntos de vista distintos, incluso diferenciando los sujetos pasivos a los que se dirigen.
Aparecen así en nuestro vocabulario de términos de seguridad tres nuevos conceptos: entidades críticas, entidades esenciales y entidades importantes. Por cierto, no sé si el creador de estas etiquetas es consciente de que acaba de mandar al limbo de la intrascendencia a todas aquellas entidades, muy notables desde el punto de vista de la seguridad, no incluidas entre las importantes. Pero, como muchos de los problemas son comunes, la realidad supera a la ficción una vez más, de modo que una misma entidad puede verse adornada por dos atributos y ser considerada al mismo tiempo crítica y esencial.
En cuanto al enfoque, la tentación de hablar de seguridad física y de ciberseguridad es fuerte, pero no es esa la preocupación aparente del legislador. En realidad, su objetivo es la resiliencia de las entidades críticas en el primer caso y garantizar un elevado nivel común de ciberseguridad en toda la Unión en el segundo, a cuyo fin crea las categorías de entidades esenciales e importantes.
Podría parecer a primera vista que a Europa, la cuestión de la resiliencia sólo le interesa para las entidades críticas, mientras que orienta la ciberseguridad sólo hacia las entidades esenciales e importantes. Pero lo segundo no es cierto, toda vez que la Directiva NIS 2 se aplica también expresamente a las entidades críticas; por contra, no hay previsiones para la resiliencia de las entidades esenciales e importantes.
Directiva CER y NIS 2: diferenciación
Por eso resulta incongruente que la Directiva NIS 2 aplique a la gestión de los riesgos de ciberseguridad de las entidades críticas y, al mismo tiempo, a la protección del entorno físico de los sistemas y redes de información de las entidades esenciales e importantes. Es como si se pretendiera diferenciar dos mundos inconexos, resiliencia y seguridad, con claro predominio de la seguridad. A este respecto, conviene tener en cuenta que la resiliencia no aparece de la nada, sino que es consecuencia de la aplicación de los adecuados planes y medidas de seguridad, y que el objetivo último de la seguridad es proteger la continuidad de la actividad.
Por otra parte, la Unión Europea venía ya advirtiendo de que la mayor interconexión e interdependencia entre las infraestructuras físicas y las digitales exige un enfoque más coherente y uniforme entre las Directivas PIC y NIS, antecedentes inmediatos de las CER y NIS 2. De ahí que la propia Directiva NIS 2 reclame este enfoque para mejorar la coordinación entre autoridades competentes y el intercambio de información sobre riesgos e incidentes de cualquier tipo.
En definitiva, podríamos resumir así el planteamiento de la Unión Europea: uno, garanticemos la continuidad de los servicios esenciales estableciendo obligaciones para que las entidades críticas mejoren su resiliencia; y dos, impongamos medidas para conseguir un elevado nivel común de ciberseguridad en toda la Unión, con el objetivo de mejorar el funcionamiento del mercado interior. A este doble objetivo deben dedicar sus esfuerzos los Estados miembros.
España ha dado muestras de su capacidad para establecer elevados marcos de seguridad en beneficio de sus ciudadanos, de sus servicios esenciales y de los mercados
Respuesta española
En este sentido, España ha dado muestras de su capacidad para establecer elevados marcos de seguridad en beneficio de sus ciudadanos, de sus servicios esenciales y de los mercados. De hecho, al primer intento europeo de sistematizar la protección de los servicios esenciales, nuestro país respondió poniendo en marcha el Sistema PIC, para la protección integral de las infraestructuras críticas, modelo de referencia a nivel internacional que fue mucho más allá de las previsiones de la propia Directiva 2008/114, sobre la identificación y designación de infraestructuras críticas europeas y la evaluación de la necesidad de mejorar su protección.
Lástima que la transposición de la Directiva 2016/1148, la NIS, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión, viniera a romper aquel sistema integral, con dudosos resultados, dando a la ciberseguridad un tratamiento diferenciado del modelo de seguridad existente. Hasta qué punto esta ruptura obedeció a intereses corporativos o profesionales, públicos y privados, es objeto de interesantes controversias.
Rigurosidad
Existe una corriente de opinión en virtud de la cual la ciberseguridad ocupa hoy todo el espectro de la seguridad, dado que por el ciberespacio corren las principales amenazas actuales en cantidad y calidad, de forma que simplemente protegiéndonos frente a las ciberamenazas podremos alcanzar los niveles de seguridad requeridos por la sociedad moderna. Me parece esta una visión simplista e interesada del problema y, por la cuenta que nos tiene, deberíamos ser más rigurosos en el enfoque; desde mi punto de vista, no nos podemos permitir el lujo de crear una dicotomía entre seguridad física y ciberseguridad.
La seguridad requiere una visión amplia, lo más amplia posible, construida sobre unos principios básicos, entre los que debe jugar un papel destacado el rigor y la vocación de servicio al interés general. A partir de ahí, la respuesta a las necesidades de protección se articulará en cada momento con la capacidad de adaptación que requieran las circunstancias, disponiendo los recursos en función de los riesgos y mejorando las capacidades técnicas y humanas para ofrecer las mejores soluciones. Compartimentar en silos esta respuesta es un error estratégico impropio de expertos en la materia.
Nuevo sistema
Pero volvamos al tema de las entidades. Afortunadamente, las directivas son una regulación básica, por lo que, en virtud del principio de armonización mínima, nada impide que los Estados miembros adopten o mantengan disposiciones que garanticen un nivel más elevado de ciberseguridad o de resiliencia, siempre y cuando tales disposiciones sean compatibles con las obligaciones establecidas en el Derecho de la Unión.
En consecuencia, ahora tenemos la oportunidad de construir nuevo un sistema que satisfaga todas las necesidades, sin silos, con la mente puesta en el mercado interior, sí, pero también en la seguridad de nuestros ciudadanos y en su derecho a disfrutar de los servicios esenciales sin interrupción; y en la seguridad jurídica de nuestras empresas, que deben recibir el marco regulatorio sin la presión, incluso el acoso, de diferentes normas imponiendo obligaciones distintas para un mismo fin, respondiendo ante autoridades diversas no siempre debidamente coordinadas.
¿Acaso no demostró el Sistema PIC suficiente capacidad integradora entre diferentes ámbitos de la seguridad y elevó la seguridad así integrada a la condición de corresponsabilidad entre el Estado y los operadores, cambiando viejos paradigmas? Sabemos que sí, pero quiero añadir que el Centro Nacional de Protección de Infraestructuras Críticas lo consiguió sin necesidad de acudir a un régimen sancionador que apoyara sus esfuerzos. Y en cuanto al coste del Sistema, ¿se podría hacer más con menos? En resumen, ¿hemos de desperdiciar ese camino ya recorrido?
Las entidades según la Directiva CER y NIS 2
Las nuevas directivas, CER y NIS 2, ponen ahora el foco en lo que denominan entidades; sujetos obligados, en definitiva. Buscan la resiliencia de las que sean críticas y mejorar la ciberseguridad de todas; quiere, además, que existan autoridades que velen por la ejecución de sus previsiones y la supervisen. Evidentemente, su mayor preocupación debe ser garantizar la resiliencia de las críticas por cuanto son imprescindibles para la provisión de servicios esenciales.
Es decir, las entidades críticas constituyen el núcleo de los objetivos por cuya protección debe velar el Estado. Siendo así, carece de sentido que el control y la supervisión de esta protección recaiga en diferentes autoridades: una (o varias) para la mayoría y otra (u otras) para una minoría más relacionada con la ciberseguridad.
Disponemos ya de un Centro Nacional de Protección de Infraestructuras Críticas, fácilmente adaptable a la resiliencia de las entidades críticas, que ha demostrado su eficacia en el desarrollo de un sistema de protección impecable. Su trayectoria y la propia Directiva NIS avalan el mantenimiento de una estructura consolidada como esta. Si le faltan capacidades en materia de ciberseguridad, el Ministerio del Interior puede asignarle recursos especializados o apoyos de los órganos técnicos con los que cuenta, aparte de que el sistema imponga la mejor colaboración y coordinación entre autoridades.
En cuanto a la ciberseguridad de las entidades esenciales e importantes, ha de ser atendida con la máxima eficiencia, y el Estado debe crear la estructura más adecuada a este fin, como ya hizo con las infraestructuras críticas. En este sentido, la dispersión de las autoridades de supervisión y ejecución promovida por el Real Decreto Ley 12/2018 es una experiencia negativa que debe ser superada.
Reorganización de recursos
En beneficio de la mejor colaboración público-privada, es el momento de reorganizar los recursos del Estado para crear un Centro Nacional de Ciberseguridad que sirva de referencia única en este ámbito, como ocurre en numerosos países de nuestro entorno (Alemania, Francia, Italia…). Afortunadamente, el Centro Criptológico Nacional viene demostrando su solvencia para asumir este cometido, aunque fueran necesarios cambios de funciones y dependencia.
Por otra parte, hay que avanzar simultáneamente en la mejora de la ciberseguridad del resto de entidades de interés «no importantes», bien incluyendo a todos los sujetos de interés en el ámbito de aplicación de la Directiva NIS 2 o bien regulando sus obligaciones mediante otro instrumento como la Ley de Seguridad Privada, convenientemente armonizadas desde el propio Centro Nacional de Ciberseguridad.
La coordinación entre ambas agencias nacionales sería así un objetivo fácilmente alcanzable, al igual que el necesario y constante intercambio de información. Sin ánimo de previsualizar un modelo de estructura orgánica, serían también factibles apoyos mutuos en materia de ciberseguridad de las entidades críticas o de resiliencia de las entidades esenciales e importantes.
La transposición de ambas directivas simultáneamente (incluso con el mismo instrumento legal) nos brinda la oportunidad de construir un modelo eficiente para la protección de nuestros servicios esenciales. En la Fundación Borredá hemos colaborado, en la medida de nuestras posibilidades, a la consolidación del Sistema PIC y seguimos ofreciendo nuestras capacidades para el desarrollo del nuevo marco de la ciberseguridad, a través del Foro Nacional de Ciberseguridad, tratando de aportar siempre una visión integradora y constructiva.
Por eso pedimos a los responsables de la transposición que, antes de legislar, lleven a cabo una reflexión profunda sobre cuál es el modelo que conviene a la seguridad de todos los españoles.