Con motivo de la elaboración del Proyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad, que está planteando el Gobierno, es un momento decisivo para la gobernanza de la ciberseguridad en España. Por ello, la Fundación ESYS, que promueve la cultura de la ciberseguridad y la colaboración público-privada, ha impulsado este debate entre empresas y sector público.
El subdirector general de Seguridad Digital del Ministerio para la Transformación Digital y de la Función Pública, Andrés Ruiz, ha inaugurado las jornadas manifestando que “los retos que presentan tecnologías disruptivas como la Inteligencia Artificial y la computación cuántica, que permiten a los ciberatacantes sofisticar los ataques de manera más elaborada y personalizada,nos obligan a actualizarnos con las nuevas tendencias en esta materia”. Ruiz también ha destacado la importancia clave de la futura ley de ciberseguridad española, “pues solo en 2024 se materializaron más de 200.000 ciber incidentes en España y cada tres días hubo un ciberataque considerado como crítico”.
Cabe recordar que el Gobierno ha aprobado recientemente un nuevo paquete de medidas en materia de ciberseguridad que refuerza el Plan Nacional vigente. Entre las actuaciones previstas se incluye: la mejora de los centros de operaciones de ciberseguridad 5G, tanto a nivel de la Administración General del Estado como en pequeños municipios, junto con el impulso de tecnologías como la Inteligencia Artificial avanzada, la criptografía postcuántica y los sistemas de auditoría automatizada. La nueva Ley de Ciberseguridad ampliará de forma sustancial el ámbito de aplicación, pasando de unas 200 entidades obligadas actualmente a más de 10.000, según Andrés Ruiz. Además, afectará a organizaciones de sectores estratégicos considerados esenciales para la vida social y económica del país, que deberán realizar evaluaciones individualizadas de riesgo y adoptar medidas concretas para proteger sus redes y sistemas de información.
Uno de los principales retos identificados durante las Jornadas organizadas por Fundación ESYS ha sido la necesidad de mejorar la coordinación entre organismos y agencias del ámbito de la ciberseguridad. Para ello, la nueva ley contempla la creación del Centro Nacional de Ciberseguridad, una herramienta clave para consolidar a España como un actor estratégico en el ecosistema europeo, garantizando una respuesta más eficaz y cohesionada frente a las amenazas digitales.
Félix Sanz Roldán, exdirector del CNI entre 2009 y 2019, y Carlos López Blanco, presidente de la Fundación ESYS, han protagonizado un diálogo bajo el título ‘Viejos conocidos, nuevas amenazas’, donde han reflexionado sobre la evolución de los riesgos geoestratégicos y cibernéticos que afrontan tanto las empresas como el país en su conjunto. Sanz Roldán ha subrayado que el actual escenario internacional se caracteriza por una creciente multipolaridad, donde la cooperación y el multilateralismo entre grandes potencias como Estados Unidos y China conviven con la aparición de nuevos actores y “reinos digitales” que trascienden las fronteras tradicionales. Además, han destacado la necesidad de que las empresas refuercen su resiliencia ante amenazas híbridas y ciberataques, y que el país haga valer su condición de aliado fiable en el marco de la OTAN, apostando por una estrategia nacional que combine la protección del ciberespacio con la defensa de los intereses geoestratégicos. Durante su intervención, Sanz Roldán ha subrayado cómo “la ciberseguridad está absolutamente enraizada con la geopolítica”. Según ha explicado, los Estados son actores clave en este escenario, a menudo con intereses que van más allá de la mera competencia tecnológica “la geopolítica lo impregna todo, está jugando un papel que no debe tener y en el que los Estados, como actores geopolíticos, son los más interesados en que el mundo digital no funcione bien”.
Las cadenas de suministro ha sido otro de los temas principales de las Jornadas. Alfredo Thomas Moretti, Dirección Global de Seguridad e Inteligencia de Telefónica; Ana de la Higuera, Responsable Global de Riesgos de Ciberseguridad en terceros de Iberdrola, y Jacinto Muñoz, Director de Resiliencia y GRC de Seguridad de Mapfre, han analizado esta cuestión moderados por Vicente Moret, secretario del Patronato de la Fundación ESYS. Durante el diálogo han puesto de manifiesto la importancia de adoptar un enfoque holístico de la gestión de riesgos, y han coincidido en la importancia de que las obligaciones impuestas resulten razonadas y proporcionadas, evitando sobrecargar a las empresas y asegurando que las medidas no sitúen a las empresas españolas en desventaja competitiva. También han subrayado el papel fundamental de los esquemas de certificación europeos como criterio objetivo para garantizar la ciberseguridad en la cadena de suministro.
A continuación, se ha abordado el impacto presente y futuro de la normativa en una mesa de debate entre David Echarri, responsable de Operaciones y Delivery de Prosegur, y Rafael Bolívar, Gerente de Ciberseguridad y Privacidad de Enagás, moderados por Maite Arcos, directora general de la Fundación ESYS. Echarri y Bolívar han analizado cómo la evolución del marco regulatorio en ciberseguridad afecta tanto a la gestión operativa actual como a la planificación estratégica de las empresas. Además, han destacado la necesidad de anticipar los cambios normativos y de adaptar los procesos internos para cumplir con requisitos cada vez más exigentes, subrayando el papel clave de la colaboración público-privada y la importancia de la formación continua para afrontar los retos que plantea la normativa europea y nacional en materia de ciberseguridad. Ambos han coincidido en la falta de profesionales en ciberseguridad y hacking ético en un momento en el que España está en el Top 3 de los países más ciberatacados a nivel mundial.
Otro de los temas de análisis ha sido la gobernanza de la ciberseguridad. Justo López, responsable de Seguridad de la Información de Endesa; Patricia Sáez, Cyber Consultant en AON, y Vicente Moret, Secretario del Patronato de la Fundación ESYS, han dialogado moderados por Rosa Kariger, presidenta del Consejo Asesor de Cyberlideria. Durante dicho debate se ha analizado cómo la nueva regulación europea y su transposición en España están transformando la gobernanza de la ciberseguridad tanto en el ámbito empresarial como público. Los ponentes han coincidido en la creciente exigencia de roles y responsabilidades claras, la necesidad de adaptar los modelos de gobernanza a las particularidades de cada sector -especialmente en sectores industriales frente a los financieros- y el papel clave que juega una buena gobernanza en la valoración y contratación de seguros de ciberseguridad. Además, han debatido sobre la separación entre seguridad física y digital, la adecuación del modelo español de responsabilidades para fomentar una cultura de ciberseguridad y la importancia de establecer unos mínimos asumibles para las pymes, destacando la necesidad de coordinación, recursos y ventanillas únicas para la notificación de incidentes, en línea con las recomendaciones de la Directiva NIS2.
“Estas Jornadas nos han servido para analizar de manera rigurosa y en profundidad el impacto que va a tener la futura ley de ciberseguridad en el conjunto de los sectores empresariales en España. El presente y el futuro nos van a exigir ser más diligentes y más conscientes de los riesgos y retos a los que nos enfrentamos, y también que habrá más normativa, por lo que es importantísimo que empresas e instituciones públicas dialoguen más y mejor para poner en común las preocupaciones y dilemas a las que se enfrentan cada una de ellas, para encontrar el punto común desde el punto de vista del óptimo social en esta materia. En ese sentido, la Fundación ESYS se ofrece a seguir generando información y conocimiento experto y riguroso en materia de ciberseguridad, y a organizar espacios abiertos de diálogo y debate como el que hoy hemos celebrado en la sede de la Fundación Telefónica”, ha concluido Carlos López Blanco, presidente de la Fundación ESYS.