Aunque no es la primera vez que asisto a estas jornadas (son quince años asistiendo al evento de manera casi ininterrumpida), si va a ser la primera vez que me tome un momento en reflexionar y compartir públicamente mis vivencias, aprendizaje y reflexiones acerca de lo que han sido estas jornadas.
Personalmente, no solo me llevo un grato recuerdo por volver a ver y poner en común conocimientos y recuerdos con grandes compañeros, del Regimiento de Transmisiones 22 y del Regimiento de Guerra Electrónica 32, la mayoría hoy destinados en el Mando Conjunto del Ciberespacio, sino también las vivencias de haber podido avanzar mi gran proyecto personal que es mi nueva empresa RCC Advisory.
Pero aparte de lo puramente personal, vamos a profundizar en lo que realmente nos preocupa que es en que sentido va avanzando algo tan complicado y preocupante cómo es la ciberseguridad nacional.
Yo personalmente entiendo la ciberseguridad nacional no solo cómo la defensa del aparato del estado, sino también en la defensa de los ciudadanos y empresas que conformamos esta nación que es España.
Y en este sentido, ¿cómo vamos?
Pues cómo la tortuga, en el cuento de la liebre y de la tortuga, seguimos avanzando, en el sentido correcto, pero muy lentamente. El mismo jueves desayunamos con la noticia de que la UE nos abría expediente por no haber transpuesto en el plazo la directiva NIS 2 o Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo de 14 de diciembre de 2022 relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión.
Esta directiva va encaminada al refuerzo de una serie de sectores considerados estratégicos y listados en los Anexos I y II.
El Anexo I recoge los siguientes sectores de Alta Criticidad:
- Energía.
- Transporte
- Banca
- Sector Sanitario.
- Agua Potable.
- Aguas Residuales.
- Infraestructura Digital.
- Gestión de Servicios TIC (B2B).
- Entidades de las AA.PP. con exclusión del poder judicial, parlamentos y bancos centrales.
- Sector Espacial.
El Anexo II recoge otros sectores estratégicos:
- Servicios Postales y de Mensajería.
- Gestión de Residuos.
- Fabricación, producción y distribución de sustancias y mezclas químicas.
- Producción, transformación y distribución de alimentos.
- Fabricación de:
- Productos sanitarios y diagnóstico in vitro.
- Productos informáticos, electrónicos y ópticos.
- Material eléctrico.
- Maquinaria y equipo ncop.
- Vehículos de motor, remolques y semirremolques.
- Otro material de transporte.
- Organismos de investigación.
- Proveedores de servicios digitales.
Este proceso implica varios pasos, empezando por la notificación formal al gobierno español, negociaciones para adaptar el calendario y por último un proceso sancionador ante el Tribunal Superior de Justicia de la Unión Europea.
¿Significa esto que las empresas debemos dormirnos y relajarnos en espera de que España se las arregle con la UE?
Si hiciéramos eso actuaríamos cómo la liebre, no cómo la tortuga y por desgracia, ni siquiera somos una liebre (Spoiler, la liebre perdió la carrera contra la tortuga).
Fuentes del MCCE me confirman que los años venideros y en el contexto geopolítico actual, la amenaza no solo va a disminuir, sino que se va a incrementar, “hay que agarrarse, que vienen curvas”, fueron sus palabras textuales.
Cualquier empresa o administración que sea susceptible de ser considerada crítica, es un objetivo, y sólo por puro interés de supervivencia ES PERENTORIO incrementar nuestros niveles de seguridad, las PYMES no suelen sobrevivir a su primer ciberataque.
En este sentido me ilumino mucho la charla de Carlos Manuel Galán Pascual, acerca de que nuestra mejor guía para cumplir la directiva NIS 2 es la guía CCN-STIC-892, de cumplimiento específico de la NIS 2.
Aunque es una guía dirigida a la administración, a las entidades privadas nos proporcionan un marco específico sobre que puntos debemos cumplir para trasponer correctamente la Directiva a nuestras organizaciones. Por otro lado, nos dejó bastante claro que la mejor manera de cumplir con la NIS 2 es certificarnos en el ENS, siendo este el marco legal más avanzado de la UE, que está sirviendo de guía para Portugal, Italia, Austria y Rumania, así como a la propia Unión.
Con la otra parte con la que me quedo de las charlas es la importancia de tener un SOC (Centro de Operaciones de Ciberseguridad) de referencia, correctamente certificado y que actúe en concordancia con estos estándares. En este sentido se ha anunciado la publicación de una guía, la CCN-STIC-896, que nos dará un nuevo marco de certificación para los SOC, avalado por el CCN y que agilice la integración de los SOC públicos y privados en la Red Nacional de SOC y en la futura Red Europea de SOC.
RCC Advisory está trabajando en este sentido, tanto asesorando a otras empresas cómo en el marco de crear nuestro propio SOC, una noticia que adelanto en primicia, pero que va por buen camino.