Digeridos los tres documentos, todavía me quedaron ganas de leer otro: la Orden de 23 de mayo, por la que se publica el Acuerdo del Consejo de Seguridad Nacional de 24 de abril de 2025, por el que se aprueba el procedimiento para la elaboración de una nueva Estrategia Nacional de Ciberseguridad, que nos viene del ministerio de la Presidencia, Justicia y Relaciones con las Cortes. La actual ya está desenfocada.

Batidora normativa

Caí en la cuenta de que la lectura de estos textos se estaba adueñando de mi voluntad. Hice una pausa a duras penas, encendí el móvil, me metí en LinkedIN y lo primero que me salió fue el anuncio de un especialista de GRC (los amigos de GRC están que se salen en estos tiempos) que había metido en una batidora reglamentos, leyes, normas internacionales voluntarias, directivas, anteproyectos, documentos de buenas prácticas, recomendaciones, los había mapeado, correlacionado, zurcido, cosido, probado (no recuerdo si el constructo es taba impulsado por IA), y… ¡zas: camino libre para dedicarnos única y exclusivamente a operar la ciberseguridad y gestionar riesgos con ella asociados!

Le di hacia arriba al dedito y salió el ejecutivo de una compañía de ser vicios que afirmaba que sus clientes ya no se preocupan por la ciberseguridad de sus empresas. ¡El vendedor nato!

Me salí de LinkedIN, no seguí leyendo textos legales y dejé que mi natural tendencia al optimismo me llevara a buen puerto. Y sin saberlo me vinieron a la mente dos de los mejores peteretes que nos aportan los anteproyectos antes mencionados, que no todo es penar. En el de la NIS2, se prevé la creación de un Centro Nacional de Ciberseguridad. Poco más se decía. Y ante esto, los ayuntamientos de Málaga, de León y de San Ciprián de Viñas (Orense) –que se sepa– empezaron a vindicar que este ente tenía que ponerse en sus demarcaciones municipales. Supongo que ante el peligro de que esto se contagiara a todos los ayuntamientos de España, tuvo que salir el ministro Óscar López y aclarar que este Centro será una oficia en La Moncloa, sin personal adscrito.

El segundo dulce se encuentra en el anteproyecto relacionado con CER, y no es otro que la nueva transmutación de la denominación del CNPIC, que empezó siendo Centro Nacional de Protección de Infraestructuras Críticas, pasó después –sin cambio en el acrónimo– a ser Centro Nacional para la Protección de Infraestructuras y Ciberseguridad, para volver hoy al principio. Pero, hete aquí que con agudeza sin par en el anteproyecto de marras se dice que el CNPIC cambiará de nombre y de acrónimo. Se propone la denominación CNPREC, Centro Nacional para la Protección y Resiliencia de Entidades Críticas, más acorde con la vigente directiva CER.

Estos pequeños divertimentos son los que nos hacen en carar la ciberprotección con buena cara. No lo dude: contentos protegemos mejor. Y sin certificado de penales.