Trasposición NIS2: ¿quién manda aquí?
La impresión que me causó escuchar la puesta al día que Doña Jimena Amarillo hizo de la canción “Libertad sin ira” de Jarcha (no se la pierdan, está en YouTube), no se puede comparar con lo que sentí al leer el anteproyecto de ley de coordinación y gobernanza de la ciberseguridad, presentado por el ministro del Interior, Don Fernando Grande-Marlaska el pasado 14 de enero, a propuesta de su departamento y de los ministerios de Defensa y para la Transformación Digital y de la Función Pública. Una vez finalizada su tramitación por el procedimiento de urgencia, y tras los preceptivos informes de distintos organismos y el dictamen del Consejo de Estado, el Gobierno fijará un texto, aprobará su remisión a las Cortes –ya como real decreto-ley, ya como proyecto de ley, cosa que no sé a ciencia cierta a fecha de cierre de esta edición– para que se debata y convalide o apruebe. Y si todo va bien y el BOE publica la norma y esta entra en vigor, habremos traspuesto a nuestro ordenamiento jurídico la NIS2. Antes, no.

José de la Peña Muñoz
Director
jpm@codasic.com
El texto disponible en este momento, el del anteproyecto, es un ejemplo excelente de lo mal que se legisla. Todo resulta desordenado, se hacen alusiones en algunos artículos a conceptos que se expresan en artículos posteriores, no se explican las cosas y se dejan al albur de futuros desarrollos reglamentarios y de leyes inexistentes, como en concreto aquella con la que se trasponga a nuestra legislación la directiva relativa a la resiliencia de las entidades críticas… Pero todo hay que decirlo: la mala técnica legislativa no es endémica de España. Lamentablemente nos viene ya de Bruselas.
Lo más triste es que con una simple lectura del contenido de esta pieza, resulta fácil identificar qué ministerio ha colado tal o cual artículo, tal o cual punto, tal o cual concepto. En suma: que no hemos superado todavía los desencuentros entre las entidades que tienen algo que decir en materia de ciberseguridad, por mucho que se mencionen esos constructos justificativos que se llaman seguridad pública, seguridad nacional y defensa nacional, cuyos contornos son, en la materia que nos ocupa, los que diga quien coyunturalmente mande. Incluso en el texto se menciona a la no definida “ciberseguridad nacional”, que aplicada a España no se sabe en qué consiste.
Responsable de la Seguridad de la Información
El artículo 16 se dedica al CISO. Prácticamente es en el único sitio en el que, al referirse a esta figura, se menciona la palabra información, pero sin especificar que esta debe ser objeto de protección. No, lo que hay que proteger son las redes y los sistemas. Mmm… Como mucho, los datos. (Otra cagada). Proteger la información tratada en sistemas TIC (usuarios incluidos) no es lo mismo que proteger las redes y los sistemas. Y las responsabilidades y funciones de los que desarrollen esas actividades no son coincidentes. (Los servicios de inteligencia y los servicios de información de los Estados dominan bien las diferencias). Además, el tratamiento seguro de la información en sistemas TIC requiere de perfiles profesionales multidisciplinares, algo que tarde vio en nuestro país el Ministerio del Interior, al contrario que el CNI al crear el CCN, y a medias la ciberdefensa militar.
Acreditación
¿Ha leído usted el punto 3 del artículo 16? No tiene desperdicio. Son dos párrafos letales. Seguro que sabe qué ministerio los ha colado. Sí, efectivamente, aquel que una vez consideró “la seguridad de la información y las comunicaciones no como actividad específica de seguridad privada, sino como actividad compatible”. (Ley de Seguridad Privada). Atentos, CISOs, que viene el segundo apretón.
CNCs
En el anteproyecto también se contempla la creación del Centro Nacional de Ciberseguridad, que dependería del Gabinete de la Presidencia del Gobierno. Se enumeran algunas funciones y atribuciones, y otras habrá que concretarlas. Pero no se indica qué rango tendrá (¿dirección general?). A priori me parece interesante su futura existencia. Pero no nos llevemos a engaño: quienes sean sus responsables tendrán que abrirse camino a codazos.
No quiero ser negativo, porque hay numerosos artículos y puntos del anteproyecto que están bien encauzados, como por ejemplo los dedicados a la persecución de delitos y algunos epígrafes relacionados con la notificación.
Ahora ya solo nos queda saber si el contenido de la trasposición de la NIS2 será este que hemos leído o no, si habrá sorpresas con la CER y si los CISOs y su personal (incluso los concernidos por DORA) tendrán o no que ir de uniforme.