Seguritecnia 504

Servicios esenciales Gobernanza Una vez revisadas y establecidas las autoridades competentes, la Directiva plantea la necesidad de que haya una autoridad que las coordine. Aunque en la Estrategia Nacional de Ciberseguri- dad en vigor (2019) se establece que el Consejo Nacional de Ciberseguridad (CNCS), a través de su Comité Perma- nente, se encargará de la coordinación, la realidad es que no lo puede hacer. La Ley de Seguridad Nacional establece que el CNCS es un órgano consultivo del Consejo de Seguridad Nacional y no tie- ne mandato para poder realizar funcio- nes de coordinación. En situaciones de crisis, el Consejo de Seguridad Nacional, a través del Comité de Situación, tiene la capacidad de coor- dinar y dirigir la actuación de todos los elementos necesarios para hacer frente a cualquier tipo de crisis. Pero la realidad es que, en el día a día, hay muchos cibe- rincidentes que son críticos, pero que no activan la intervención del Consejo de Seguridad Nacional, haciendo necesa- ria la figura de un órgano de menor nivel que sea capaz de coordinar a nivel ope- racional a las autoridades competentes y a los CSIRT de referencia. El problema de la gobernanza de la ciberseguridad al más alto nivel, por tan- to, no tiene una fácil solución. Entre los caminos posibles se podría plantear la modificación de la Ley de Seguridad Na- cional para dar competencias al CNCS y que pueda ejercer funciones de coor- dinación en determinadas situaciones. Otra opción, elegida por los países más avanzados en ciberseguridad (Francia, Italia, Alemania…), es la creación de una Agencia de Ciberseguridad Nacional. En cualquier caso, será necesario que estas decisiones se tomen al más alto nivel. Otro problema similar al que deberá buscar solución la trasposición es la necesidad de que haya coordinación a nivel técnico. Actualmente, España está dividida en tres sectores de responsabili- dad desde el punto de vista técnico de la ciberseguridad, correspondiéndose con los tres CERT de referencia: CCN-CERT para el sector público, Incibe-CERT para el sector privado/ciudadano y ESPDEF- CERT para el sector de la defensa. Su dependencia de distintos ministerios hace que trabajen con un nivel de coor- dinación muy mejorable, creándose nichos en los que se trabaja con distin- tos objetivos, a distinta velocidad y con distinto nivel de capacidades y servicio. No va a ser fácil encontrar una fórmula en la trasposición que permita mejorar la coordinación técnica de los CERT de referencia. El camino para esta mejora de la coor- dinación, posiblemente, pueda venir por el uso de herramientas que permitan una gestión y tratamiento de los ciberin- cidentes de forma centralizada, como la Plataforma Nacional de Notificación y Seguimiento de Ciberincidentes. Esta pla- taforma podría constituirse en un repo- sitorio de información de ciberseguridad con el que poder coordinar y gestionar los ciberincidentes a nivel nacional, facilitan- do la coordinación con las autoridades competentes y con los órganos de direc- ción que se establezcan (Departamento de Seguridad Nacional, Oficina de Coordi- nación de Ciberseguridad, etcétera). Finalmente, cabe destacar que la NIS 2 establece las medidas mínimas a cumplir, no limitando a los países a establecer otras que puedan mejorar su nivel de ciberseguridad. En este sentido, el Centro Criptológico Nacional está des- plegando un escudo de protección de ciberseguridad: la Red Nacional de Cen- tros de Operaciones de Seguridad (RNS). Esta Red dispone de los medios ne- cesarios para que se comparta infor- mación de actividad sospechosa o con- firma y permite que todos los SOC que la componen puedan adoptar medidas de protección en tiempo oportuno para defenderse de ataques. La trasposición debería incorporar y reconocer la RNS como un elemento estratégico más de la ciberseguridad a nivel nacional. / Noviembre-Diciembre 2023 59

RkJQdWJsaXNoZXIy MTI4MzQz