Reunión del Consejo Nacional de Ciberseguridad
12 de julio 2022
El 11 de julio de 2022, el Consejo Nacional de Ciberseguridad ha reunido a los vocales de dicho órgano colegiado, la mayoría en formato presencial en la sede del Departamento de Seguridad (DSN), y el resto a través de videoconferencia segura. Este Consejo está presidido por Esperanza Casteleiro, secretaria de Estado-Directora del Centro Nacional de Inteligencia (CNI)—, mientras que la vicepresidencia recae en el director del DSN de la Presidencia del Gobierno, Miguel Ángel Ballesteros Martín.
La agenda del Consejo
En esta reunión, el Consejo ha aprobado el Informe anual de evaluación de la Estrategia Nacional de Ciberseguridad, que ha sido elaborado por el Departamento de Seguridad Nacional en su condición de Secretaría Técnica y Órgano de Trabajo Permanente del Consejo de Seguridad Nacional y del Consejo Nacional de Ciberseguridad, con la participación de los órganos y organismos competentes en la materia. En este informe se recogen las actuaciones llevadas a término en el periodo de enero de 2021 a junio de 2022, así como una evaluación del grado de ejecución y cumplimiento de las medidas para alcanzar los objetivos de dicha Estrategia.
Además, se han abordado otros asuntos, como las actuaciones del Grupo de Trabajo de Ciberseguridad, constituido en el seno del Comité de Situación tras la invasión rusa de Ucrania, así como el estado actual de la Directiva NIS 2, que está pendiente de los últimos trámites antes de su aprobación —previsiblemente en los últimos meses de 2022— y su posterior transposición al ordenamiento jurídico nacional.
Asimismo, se han presentado las actuaciones llevadas a cabo para mejorar la resiliencia en ciberseguridad a nivel nacional, como la Red Nacional de Centros de Operaciones de Ciberseguridad, la Plataforma Nacional de Notificación y Seguimiento de Ciberincidentes y el Centro de Operaciones de Seguridad de la AGE.
Por otro lado, se ha analizado el estado actual de los Trabajos del Foro Nacional de Ciberseguridad y su futura publicación, así como la situación de los trabajos del grupo liderado por España de cooperación público-privada, que se enmarca en la iniciativa contra el ransonware de Estados Unidos.
También se abordó el ejercicio CyberEurope que —organizado por la Agencia Europea para la Ciberseguridad (ENISA)— se realizó los días 8 y 9 de junio, contó con una amplia participación española y estuvo vinculado —como escenario principal— al sector sanitario.
Por último, el Consejo acordó la constitución de un Grupo de Trabajo para abordar los asuntos ciber durante la próxima Presidencia española del Consejo de la UE, que se desarrollará en el segundo semestre del 2023.
El Consejo Nacional de Ciberseguridad
EL Consejo Nacional de Ciberseguridad es un órgano colegiado de apoyo al Consejo de Seguridad Nacional en su condición de Comisión Delegada del Gobierno para la Seguridad Nacional, en el marco de la Ley 50/1997, de 27 de noviembre, del Gobierno. Este Consejo se creó por Acuerdo del Consejo de Seguridad Nacional del 5 de diciembre de 2013, y su principal objetivo es reforzar las relaciones de coordinación, colaboración y cooperación entre las distintas Administraciones Públicas con competencias en materia de ciberseguridad, así como entre los sectores públicos y privados, y facilitará la toma de decisiones del propio Consejo mediante el análisis, estudio y propuesta de iniciativas tanto en el ámbito nacional como en el internacional.
Entre sus principales cometidos, el Consejo Nacional de Ciberseguridad apoya la toma de decisiones del Consejo de Seguridad Nacional en su ámbito competencial mediante el análisis, estudio y propuesta de iniciativas tanto en el ámbito nacional como en el internacional, además de contribuir a la elaboración de propuestas normativas en el ámbito de la ciberseguridad para su consideración por el Consejo de Seguridad Nacional.
Por otro lado, realiza la valoración de los riesgos y amenazas, analiza los posibles escenarios de crisis y su evolución, elabora y mantiene actualizados los planes de respuesta y formula directrices para la realización de ejercicios de gestión de crisis en el ámbito de la ciberseguridad, todo ello en coordinación con los órganos y autoridades directamente competentes. Asimismo, contribuye a la disponibilidad de los recursos existentes y realizar los estudios y análisis sobre los medios y capacidades de las distintas Administraciones Públicas y Agencias implicadas con la finalidad de catalogar las medidas de respuesta eficaz en consonancia con los medios disponibles y las misiones a realizar, todo ello en coordinación con los órganos y autoridades directamente competentes y de acuerdo con las competencias de las diferentes Administraciones Públicas implicadas en el ámbito de la ciberseguridad.
Las amenazas en el ciberespacio en la ESN21
Por último, el Consejo Nacional de Ciberseguridad se encarga de verificar el grado de cumplimiento de la Estrategia de Ciberseguridad Nacional e informar al Consejo de Seguridad Nacional, al tiempo que presta apoyo al Consejo de Seguridad Nacional en su función de verificar el grado de cumplimiento de la Estrategia de Seguridad Nacional en lo relacionado con la ciberseguridad.
A este respecto, la Estrategia de Seguridad Nacional (ESN) 2021 destaca—dentro del mapa de los riesgos y amenazas a la Seguridad Nacional— la vulnerabilidad del ciberespacio, «donde se distinguen dos tipologías generales de amenazas en el ciberespacio. Por un lado, los ciberataques, entendidos como acciones disruptivas que actúan contra sistemas y elementos tecnológicos. Y, por otro lado, el uso del ciberespacio para realizar actividades ilícitas, como el cibercrimen, el ciberespionaje, la financiación del terrorismo o el fomento de la radicalización». Para evitar las consecuencias de estas amenazas, la ESN 21 —en su capítulo 4 Un Planeamiento Estratégico Integrado — refiere que es necesario «garantizar el uso seguro y fiable del ciberespacio, para proteger los derechos y las libertades de los ciudadanos y promover el progreso socio económico. Para ello es importante incrementar las capacidades (tecnológicas, humanas y económicas) de la ciberseguridad nacional dirigidas a la prevención, detección, respuesta, recuperación, investigación y defensa activa».
