Continuamos hablando de las novedades que nos trae el Real Decreto 43/2021. ISACA Madrid Chapter y aesYC (Alianza Española de Seguridad y Crisis) organizaron el WebinarNIS25F, "El impacto del RD 43/2021 en las Administraciones Públicas" tras el éxito de la primera WebinarNIS, con un panel de expertos/as estelar y más de 1.000 asistentes. En esta segunda sesión, se contó además con el apoyo y la colaboración de Astic, ProtAAPP, DSN, CCN-CERT, INCIBE, El Mando Conjunto de Ciberdefensa y la Oficina de Coordinación de Ciberseguridad (OCC) del CNPIC.
El primero en intervenir fue Vicente Moret Millás, Letrado de las Cortes Generales y Of Counsel de Andersen, quien insistió en que “estamos en un momento de grandes cambios y lo que viene en materia de regulación es enorme; DORA, DSA, NIS II, la directiva de residencia de operadores críticos y la estrategia europea de seguridad”.
Moret destacó que “como país se ha hecho mucho en los últimos años”, se refirió al famoso ranking de la ONU de la ITU que coloca a España entre los 10 primeros puestos en materia de ciberseguridad” y aseguró también que “las AAPP son esenciales en el cumplimiento del marco NIS. Sin ellas no se entendería lo que es la regulación en materia de ciberseguridad y, son, al mismo tiempo, operadores de servicios esenciales y también la autoridad competente”.
Como experto, apuntó aspectos a mejorar como la colaboración público-privada, la necesidad de aumentar los medios materiales y humanos, que es crítico fomentar la cultura de ciberseguridad y la importancia de aumentar la coordinación entre autoridades.
También enumeró los retos del sector; desarrollar, aplicar y explotar todo el potencial de la NIS, resolver la gran batalla geopolítica fijando los estándares europeos de certificación en ciberseguridad, incrementar el protagonismo de España en organismos internacionales, potenciar el talento en el sistema educativo, conseguir una correcta canalización de los fondos del Next Generation Plan, prepararse para la NIS2 y clarificar los ámbitos de aplicación, potenciar la fase de respuesta del Estado ante delitos en la red y mayor transparencia.
Mar López Gil, del Departamento de Seguridad Nacional (DNS) moderó la mesa de expertos con el mismo Moret, Enrique Cubeiro, Jefe de Área de Ciberdefensa de la Jefatura de Sistemas Satelitales y de Ciberdefensa del Ministerio de Defensa, Carlos Córdoba, Asesor de ciberseguridad en el Centro Criptológico Nacional (CCN) y Marcos Gómez Hidalgo, Subdirector de Servicios de INCIBE.
Tras describir el ciberespacio como “anárquico, sin fronteras, dinámico, sin control, accesible con un débilregulación y donde es difícil atribuir las acciones” Mar preguntó sobre cuál era el impacto más relevante de la nueva regulación. Vicente Moret explicó que “ahora la responsabilidad está en los Consejos de Administración, la regulación de la protección de datos y de la ciberseguridad convergen y evidencia el empoderamiento que la Unión Europea.
- Futuro
Para Córdoba (CNN), la pandemia ha evidenciado que había muchos más operadores de servicios esenciales de los definidos, la necesidad de unidad de criterio en lo relativo al modelo de comunicación de incidentes y apuntó que Europa debe comenzara dar fondos para esta labor. Gómez Hidalgo (INCIBE) apuntó como fundamental la ampliación del tamaño de las organizaciones afectadas, del alcance de la directiva NIS2 y el reconocimiento de los incidentes como daños a la sociedad y no solo a las personas.
Cubeiro (Ministerio de Defensa) destacó que la ciberdefensa debería integrase en el entramado nacional de ciberseguridad, mejorar la cooperación con otros organismos y establecer mecanismos de disuasión, es decir, represalias y Córdoba reconoció que “el ciberdelito ha avanzado el último año a una velocidad brutal, va a ir a más y encontraremos nuevas formas de delito cada día ", respondió Carlos.
- Colaboración público-privada
Los ponentes coincidieron en un balance positivo, con sus obvios puntos de mejora, como el tener más agilidad para poder prestar mejores servicios a la ciudadanía y a la sociedad. La importancia del presupuesto es clave. En el caso de INCIBE, se ha pasado de un presupuesto anual de 23 Millones de Euros y, con el Fondo de Recuperación que llegará desde Europa, y se contará con un presupuesto de 250 Millones de Euros para 3 años.
- Amenazas detectadas
El teletrabajo pues ha supuesto una ampliación, con exigencia inmediata, de la superficie de exposición, se han abierto los agujeros de seguridad, las debilidades, las vulnerabilidades. “Desde INCIBE esperábamos un aluvión de incidentes y consultas, pero en el número de teléfono 017, de las 50.000 consultas recibidas, tan solo un 4% han tenido que ver con amenazas relativas al COVID y, de los 90.000 incidentes resueltos, solo un 0,5% (unos 450-500 casos) tuvieron que ver con el COVID", explicó Marcos Gómez.
- Aplicar nueva legislación
Están el CNPIC y la Oficina de Coordinación de Ciberseguridad como autoridad competente para el caso de operadores críticos. Cuando se aplique la nueva NIS, aparecerán otros operadores de servicios esenciales que ya no dependerán del CNPIC y, en ese momento, éstos no estarán preparados, y habrá ministerios que tampoco sepan qué hacer. Habrá que ayudarles a que lo estén rápidamente.
Respecto a esta plataforma de reporte de incidentes, se está en un punto inicial, con la iniciativa presentada en el Consejo Nacional de Ciberseguridad, y aceptada, pero se está buscando la financiación para construirla y trabajar todos en ella conjuntamente.
- Preparación de los operadores de servicios esenciales
Cada vez se van a exigir más requisitos de ciberseguridad a las empresas proveedoras de servicios y éstos serán parte de los contratos. El rol del CISO en la regulación; va a ser una figura fuerte que será el eslabón necesario entre la Administración y la organización o empresa.
Los ponentes de la mesa insistieron en transmitir que la nueva Ley porque “no es una carga, sino una oportunidad" porque generará una ventaja competitiva en el mercado, puede ser una palanca de transformación digital, va a permitir que las empresas se reorganicen y evitar (en un alto porcentaje) ciberincidentes que cuestan dinero y reputación.
- Puedes leer el resumen completo aquí https://www.linkedin.com/pulse/c%C3%B3mo-afecta-el-rd-432021-las-administraciones-p%C3%BAblicas-chapter/
- Tienes el video disponible aquí: https://www.youtube.com/watch?v=5Ff_PN4eADY