Guía nacional de notificación y gestión de incidentes. No hay que abundar a estas alturas en la obligación de notificar ciberincidentes a las autoridades competentes, sin perjuicio de denunciar si se considera que el hecho tiene aromas delictivos.
En lo que sí teníamos que avanzar era en crear un marco armonizado para los sujetos obligados a la notificación y también para los no obligados que consideren procedente notificar. Y esto es lo que se ha conseguido con la Guía nacional aprobada el 9 de enero por el Consejo Nacional de Ciberseguridad. La elaboración del documento la ha realizado un Grupo de Trabajo interministerial, formado por el CCN, INCIBE, MCCD y CNPIC. Este último, el Centro Nacional de Protección de Infraestructuras y Ciberseguridad, ha coordinado los trabajos.
No es la guía perfecta, como algunos “operadores” pueden pensar. Sin embargo constituye un gran avance para todos, privados y públicos, personas jurídicas y físicas. Y además nos permite dejar constancia de ser el primer estado miembro de la UE en tener un marco de referencia único para este fin..
Agencia de Ciberseguridad de Cataluña. Como es sabido, el 31 de octubre de 2017 el Gobierno de España presentó recurso ante el Constitucional contra parte del contenido de la ley 15/2017, de 25 de julio, de la Agencia de Ciberseguridad de Cataluña, al considerar algunos extremos de la misma inconstitucionales.
Pues bien, a finales del año pasado, el Tribunal decidió estimar parcialmente el recurso y declarar inconstitucionales y nulos algunos contenidos de la citada ley autonómica consignados en el recurso y declarar otros no contrarios a la Constitución. (El lector encontrará información específica en la sección de Noticias de la presente edición en medio impreso). Sin duda, el hecho tiene una singular importancia para la ciberseguridad, porque en la sentencia el Tribunal ha llevado a efecto argumentaciones de gran valor para asentar las esferas de la seguridad pública y la seguridad nacional en base a los puntos en los que el Gobierno expresó diferencia de criterio con el legislador autonómico.
Visto el fallo, ya no existe disputa constitucional que impida la creación de la Agencia de Ciberseguridad de Cataluña y que, en tal momento, se inicie la disolución del Centro de Seguridad de la Información de Cataluña, CESICAT.
Evolución de los ciberataques. SIC ha preguntado por esta cuestión a 161 entidades vinculadas a la ciberseguridad, entre las que se encuentran las autoridades españolas competentes (CCN, CNPIC, INCIBE y MCCD), la Fiscalía General del Estado, las FCSE, las policías autonómicas, los Centros y CERTs autonómicos, las asociaciones profesionales y técnicas, los congresos, los analistas y una larga lista de empresas que conforman la cadena de valor comercial de la industria y los servicios.
Lo que se deduce de la lectura del trabajo, que se publica en páginas centrales de esta edición, se resume en una frase: la cosa se complica.
Centro Europeo de Competencia Industrial, Tecnología e Investigación en Ciberseguridad y Red de Centros de Coordinación Nacional. El Consejo y el Parlamento europeos están estudiando la propuesta de la Comisión para el próximo presupuesto de la UE 2021-2027 de crear un centro de ciberseguridad industrial, una red de centros nacionales –a modo de puntos de contacto– y una Comunidad de Competencia como foro abierto de debate.
La Comisión ha indicado que, por defecto, la sede del futuro Centro será Bélgica, lo que no obsta para que los estados miembros se postulen para albergarlo, además de tener el organismo que forme parte de la Red de Centros de Coordinación. Si el Consejo y el Parlamento no dieran luz verde a esta propuesta de la Comisión antes de las elecciones europeas de mayo, el asunto quedaría pospuesto a la siguiente legislatura.