29 de septiembre 2020
Ejercicio Blue Olex 2020. Gestión de crisis de ciberseguridad
Blue OLEx 2020: ejercicio y debate sobre políticas estratégicas
La segunda edición del ejercicio Olex —que debido a la crisis COVID, se ha celebrado online— ha tenido lugar el 29 de septiembre de 2020, y ha sido organizado por los Países Bajos, con el apoyo de la Agencia de la Unión Europea para la Ciberseguridad (ENISA, por sus siglas en inglés). El objetivo del ejercicio es construir una relación más sólida entre la comunidad de ciberseguridad; aumentar la concienciación sobre el estado actual de este ámbito; y, por último, compartir las mejores prácticas, estableciendo para ello un debate político de alto nivel sobre cuestiones estratégicas de política de ciberseguridad y, en particular, sobre un marco para la gestión de crisis a nivel UE.
El ejercicio ha reunido a altos directivos de las autoridades competentes a cargo de la gestión de crisis sobre ciberseguridad de los 27 Estados miembros, de la Comisión Europea y de ENISA. Además, ha servido para poner en funcionamiento oficialmente la red de Enlace para gestión de crisis de Ciberseguridad de la UE (CyCLONe) y, al mismo tiempo, explorar la interacción de la nueva red y el nivel político.
CyCLONe: una nueva red de cooperación para los Estados miembros
La finalidad de CyCLONe es contribuir a la implementación del Plan de la Comisión Europea para una respuesta rápida de emergencia en caso de un incidente a gran escala o crisis de ciberseguridad transfronteriza. Por otro lado, complementa las estructuras de ciberseguridad existentes a nivel de la UE ya que vincula la cooperación a nivel técnico —por ejemplo, el Equipo de respuesta a incidentes de seguridad (CSIRT, por sus siglas en inglés)— con el nivel político: entre otras, a través del Mecanismo de Respuesta política integrada a las crisis (IPCR, por sus siglas en inglés). De forma paralela, CyCLONe permitirá conocer las estrategias nacionales de respuesta y evaluación de impacto durante estas crisis; y poder así informar a los responsables políticos, tanto a nivel nacional como de la UE.
Antecedentes
En el ámbito de la ciberseguridad, la cooperación transfronteriza en la respuesta coordinada a ciberincidentes y crisis a gran escala supone una prioridad para los trabajos que se están desarrollando en el seno de la Unión Europea.
En este sentido, el Grupo de Cooperación de la Directiva NIS inició varias actividades para desarrollar los aspectos relativos a la implementación de las recomendaciones de la Comisión Europea de septiembre de 2017 sobre una respuesta coordinada a incidentes y crisis a gran escala (conocido como Blueprint), con el propósito de asentar las bases para un Marco Europeo de Respuesta a Crisis de Ciberseguridad.
A nivel nacional, la Ley 36/2015 de Seguridad Nacional regula el Sistema de Seguridad Nacional (SSN), su dirección, organización y coordinación y la Gestión de Crisis; mientras que el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información transpone esta Directiva NIS al ordenamiento jurídico español. Así mismo, designa al Consejo de Seguridad Nacional, a través del Departamento de Seguridad Nacional, como Punto de contacto único con la responsabilidad de ejercer una función de enlace que garantice la cooperación transfronteriza de las autoridades competentes, así como la comunicación de incidentes transfronterizos.
En este contexto, se realizó un seminario en Madrid el 23 de enero 2019 organizado por el DSN, al que asistieron los diferentes Estados Miembros, y donde se presentaron las distintas funciones del punto único de contacto.
Este seminario se complementó con la celebración de la primera edición del ejercicio denominado Blue Olex en julio de 2019, organizado por la Agencia Nacional de la Seguridad de los Sistemas de Información (ANSSI) de Francia en colaboración con el DSN. En este ejercicio se subrayó la necesidad de implementar un nivel intermedio entre el nivel técnico y político en el marco de gestión de crisis de ciberseguridad de la UE.
