El pasado 2 de julio de 2024, se celebró en Fide la Sesión “Las Directivas NIS 2 y CER (entidades críticas). Actualización del marco de ciberseguridad europeo e incertidumbres ante el posible retraso en la transposición en España”. Participaron en el debate: Maite Arcos, Directora de la Fundación Empresa, Seguridad y Sociedad Digital (ESYS), miembro del Consejo Asesor de CyberLideria, Félix Arteaga investigador principal de seguridad y defensa en el Real Instituto Elcano, donde dirige el Grupo de Trabajo sobre Ciber políticas siendo también vocal del Foro Nacional de Ciberseguridad, co-coordinador del grupo de trabajo 5 del mismo Foro sobre Regulación y coordinador del subgrupo de Agenda Estratégica y Alberto Moreno Rebollo Director de Regulación en Telefónica España. La moderación del debate corrió a cargo de Javier Fernández-Samaniego (Socio de Osborne Clarke Inc. y miembro del Consejo Académico de Fide).
Contexto y situación actual – Labor realizada por los grupos de trabajo hasta la fecha/falta de consulta pública
El debate comenzó con un repaso del estado de transposición de la Directiva NIS 2 (Directiva 2022/2555 de 14 de diciembre de 2022) y la Directiva 2022/2557 (CER) de “entidades críticas” -que sustituye a la directiva de infraestructuras críticas-. Se confirmó que el trabajo realizado por el grupo de trabajo público-privado durante el año 2023 no ha generado avances o un borrador concreto y, pese a que el plazo límite de transposición está fijado para el próximo 17 de octubre de 2024 , el grupo de trabajo interministerial existente dejó de reunirse a finales del año pasado ( recuérdese que están involucrados el Ministerio de Interior como proponente y, como co-proponentes los Ministerios de Defensa, Transformación Digital y Función Pública y el Departamento de Seguridad Nacional de Presidencia de Gobierno ) y que , tras las diferencias de planteamiento existentes (sobre todo derivadas de la gobernanza del sistema) Presidencia en fechas recientes ha pedido un impulso al Ministerio proponente.
Ahora bien, si bien el Ministerio del Interior lanzó una consulta pública previa a la elaboración de los anteproyectos de Ley de transposición de dichas directivas en septiembre de 2023, a estas fechas desde los sectores afectados se observa con preocupación que el Ministerio proponente y encargado de la transposición no haya publicado todavía un anteproyecto de Ley que pueda ser sometido a consulta a los sectores afectados existiendo el temor -no velado- que pudiese llegar a legislar vía RD-Ley esa materia.
Más allá de lo desaconsejable de legislar vía RD-Ley y lo excepcional que debería ser esa práctica, en la sesión se recordó que incluso cuando se optó por legislar vía RD-Ley la seguridad de las redes y servicios 5G a mediados de 2022 (RD-Ley 7/2022 ) ante la situación de la guerra de Ucrania, en ese caso tan excepcional al menos ya se había publicado un Anteproyecto de Ley y hubo ocasión de contribuir en consultas públicas al mismo como también al Esquema de desarrollo lo que, lamentablemente, no está ocurriendo con NIS-2.
Ámbito de aplicación/ sujetos obligados
A continuación, se repasó el nuevo ámbito de aplicación NIS-2 [Artículo 3 entidades esenciales e importantes de los sectores críticos y la coordinación entre la Directiva NIS2 y la Directiva CER ( Directiva 2222/2557 sobre resiliencia de entidades críticas que en su artículo 1.2 establece explícitamente que esta última directiva no se aplicará a las materias reguladas por la NIS2 y que los Estados Miembro están obligados a aplicar ambas directivas de manera coordinada].
Se espera que España no se desvíe del ámbito de la Directiva y se recordó la incertidumbre que para determinadas entidades (por ejemplo, para la Administración local o centros de enseñanza que llevan a cabo investigación crítica) puede tener la regulación de implantación en España por cuanto la aplicación o no de la Directiva se deja a criterio del legislador nacional).
Asimismo, a lo largo de todo el debate se recordó cómo hemos pasado de un enfoque de cumplimiento de “check-list” y centrado en la notificación de incidentes a un enfoque más holístico y de prevención en el que la responsabilidad activa (“accountability”) de los sujetos obligados es ahora fundamental necesitando desarrollar políticas integrales de gestión de la seguridad.
También se insistió mucho a lo largo del debate en el acento que la norma pone en el rol de los órganos de dirección de las entidades esenciales e importantes por cuanto, ex Artículo 20, tienen ahora la presión de que se aprueben las medidas para la gestión de riesgos de ciberseguridad adoptadas por dichas entidades para dar cumplimiento al artículo 21, supervisen su puesta en práctica y respondan por el incumplimiento por parte de las entidades de dicho artículo.
También se insistió en que la norma no es estática ya que se puede caer bajo su ámbito de aplicación dependiendo de cambios de circunstancias que hagan que servicios que se presten pasen a ser críticos.
Fue interesante conocer el punto de vista de los operadores de redes que ya desde la normativa anterior de infraestructuras críticas, han venido siendo “entidades críticas” y que, pese a la complejidad del marco, los riesgos de superposición normativa y gobernanza, con multitud de normativa con la que también deben cumplir como es la de ciberseguridad 5G, DORA, etc. se encuentran confiados en poder cumplir adecuadamente con las Medidas de gestión del riesgo (Artículo 21). Ahora bien, y en esto hubo unanimidad en el debate, se pide que la Administración ponga el acento en la labor de supervisión y como facilitador del cumplimiento mediante la colaboración público privada y no tanto en futuras competencias de investigación o sancionadoras.
Evaluación cadena de suministro/ Certificaciones europeas de ciberseguridad
Desde la óptica de los grandes operadores se compartió como estos integran la seguridad física y ciberseguridad y su enfoque, desde hace años, como parte de una visión más holística de la seguridad que se ajusta mejor a los riesgos que se pretenden migar. Por ello, a pesar de que toda normativa tiene aparejado un coste económico y operativo para su gestión, ycomo no podía ser de otra manera, esta también lo trae, ante la reciente avalancha de normas con mayor complejidad sobre las obligaciones , los operadores de redes se encuentran preparados gracias a su estrategia de seguridad desde el diseño. Y es que, los análisis de riesgos de seguridad se elaboran con carácter regular; siendo, quizás, lo novedoso para algunos de los sujetos obligados la obligación de presentarlos ante la Administración.
Ahora bien, en otras entidades donde todavía existe una división entre el CIO y el responsable de la seguridad física se constata que el enfoque no es holístico y que NIS-2 implicará importantes cambios organizativos en la empresa.
Asimismo, se apunta que la normativa sobre seguridad siempre ha de ser debidamente razonada, teniendo en cuenta toda la cadena de suministro de los servicios y que cualquier tipo de obligación ha de responder a una finalidad y objetivo evitando situar a las empresas europeas en desventaja competitiva con otras regiones. No mayor número de normativa hacen a las entidades europeas más resilientes, sino unas obligaciones mejor razonadas y coordinadas entre ellas.
Por otra parte, respecto a las Evaluaciones coordinadas de los riesgos de seguridad de las cadenas de suministro críticas a escala de la Unión referidas en el Artículo 22 suscitaron más inquietudes y, en relación con ello, el hecho de que la obligación de la diversificación de la cadena de suministro se trate de una medida primordial para garantizar la seguridad y, sin embargo, al tiempo se abra la puerta a eventuales medidas de restricción y exclusión de ciertos suministradores, algo que resulta paradójico y problemático, máxime tratándose de un mercado con un número muy limitado de actores.
La mesa coincidió en que sería más deseable avanzar en los esquemas de certificación como criterio objetivo y, en este sentido, se constató la lentitud con la que se están implantando estos esquemas europeos, a pesar de su complejidad, cuando para la gestión de la ciber resiliencia el establecer como criterio de selección la existencia o no de certificaciones es la forma más rápida y eficiente de asegurar una cadena de suministro ciber segura. Obviamente, siempre que esas certificaciones, se basen en cuestiones estrictamente tecnológicas y riesgos probados técnicamente y no en cuestiones de otra índole como podrían ser cuestiones geopolíticas o suposiciones.
Hubo un interesante debate, motivado también por las preguntas de los asistentes sobre las cuestiones de responsabilidad y las medidas contractuales que se están teniendo que adoptar para garantizar la integridad de toda la cadena.
Gobernanza Pública de la ciberseguridad
Considerando que ESYS ha realizado una Propuesta de gobernanza pública de ciberseguridad en España1 en mayo 2024, Maite Arcos explicó sucintamente esta propuesta empezando por su consideración de partida: necesidad de plataforma de ventanilla única para los sujetos obligados que facilite la notificación digital y segura y la ausencia de cargas para la entidad que ha sufrido un incidente y debe notificarlo, tal y como prevé la Directiva NIS 2 en su Considerando 106(5).
Para la elaboración de la propuesta ESYS analizó varios modelos internacionalmente (Francia, Polonia, Estonia, Israel, Reino Unido, EEUU) y las distintas aproximaciones existentes: modelo centralizado vs especializado, diferenciación esfera civil y militar, rol Primer Ministro, coordinación, flexibilidad, primus inter pares, vinculación con Estrategia Nacional, ente nacional y su conclusión pasa por el establecimiento de una Agencia Española de Ciberseguridad con una dependencia de Presidencia siguiendo el modelo del Reino Unido.
Se debatió ampliamente sobre las potenciales virtudes -y retos sabiendo que, precisamente, el aspecto de la gobernanza es el que más tensiones está provocando entre los distintos órganos ministeriales.
Supervisión/ inspección y régimen sancionador
Todos los ponentes coincidieron en que el enfoque en relación con el deseable régimen de inspección y sancionador (Artículo 31) considerando que estamos ante una matria donde el riesgo 0 no existe exige que la Administración ponga su acento en la supervisión y la cooperación y no en un enfoque sancionador sino, como exige la Directiva, un enfoque más anglosajón de cooperación y supervisión.
En este sentido, se hizo la propuesta -como ha ocurrido en algunos ámbitos del sector telecomunicaciones- de que la Administración se plantee contar con el sector privado para la supervisión de certificaciones y medidas a adoptar considerando lo poco realista que resulta que, con los medios existentes en la Administración, se pueda realizar un control y ayuda a la mitigación del riesgo adecuada.
Oportunidades y/o riesgos al freno de inversión extranjera y desarrollo sector ciberseguridad.
Por último, el debate recordó que la ciberseguridad es un nuevo sector industrial pese a que no exista una política industrial al respecto fuerte que apoye a este sector. Es imprescindible que las PYMES cuenten con soluciones adecuadas y proporcionadas para mitigar sus riesgos y que, además, se potencie la industria de soluciones en nuestro país.
A finales de 2020 León no consiguió la sede del Centro Europeo de Ciberseguridad frente a Bucarest y la mesa insistió en la necesidad de un enfoque más positivo que, como en otros ámbitos donde están canalizándose fondos europeos y se observe el enfoque de países como EEUU donde la regulación no obsta al desarrollo industrial y los riesgos que se pretenden mitigar no están allí peores mitigados que con un enfoque tan pesado regulatoriamente hablando.
