En este artículo revisaremos los aspectos generales del Plan Nacional de Ciberseguridad del Gobierno, aprobado por el Consejo de Ministros el 29 de marzo de 2022 y dotado con más 1.000 millones de euros y el objetivo de mejorar y reforzar la ciberseguridad de todo el Estado.
En este artículo hablamos de:
¿Qué es el Plan Nacional de Ciberseguridad?
El Plan Nacional de Ciberseguridad es la estrategia a seguir por todo el Estado para la mejora y refuerzo de la ciberseguridad de infraestructuras críticas, administraciones y organizaciones privadas. Dotado con 1.200 millones de euros para su financiación, el Plan recoge 150 iniciativas, entre actuaciones y proyectos, a desarrollar en los próximos tres años.
Estas iniciativas surgen como desarrollo de la Estrategia Nacional de Ciberseguridad de España y de las propuestas e informes elaborados por el Foro Nacional de Ciberseguridad (FNC), un foro de colaboración público-privada que ya ha emitido sus primeros informes sobre el grado de cultura de ciberseguridad en España, la necesidad de crear un Esquema Nacional de Certificación para responsables en ciberseguridad y la necesidad de promover y fomentar la industria y la investigación en torno a esta materia, con inversiones en I+D+i y el desarrollo de un ecosistema que permita liderar en innovación digital y ciberseguridad.
Contexto en el que se aprueba el Plan Nacional de Ciberseguridad
El Plan Nacional de Ciberseguridad, coordinado por el Departamento de Seguridad Nacional, forma parte de las medidas aprobadas dentro del Plan Nacional de Respuesta a las consecuencias económicas y sociales de la Guerra en Ucrania, que ha puesto de manifiesto la necesidad de reforzar la ciberseguridad tanto de organismos públicos como de empresas privadas, para poder hacer frente a eventuales ataques cibernéticos que puedan poner en riesgo infraestructuras y servicios críticos.
Aunque ha sido este contexto geopolítico el que ha acelerado la necesidad de poner en marcha medidas para intensificar la vigilancia, mejorar la planificación, preparación y detección de ciberamenazas, lo cierto es que muchas de las actuaciones recogidas por el Plan ya figuraban en la Estrategia de Ciberseguridad de 2019, el Plan, finalmente, da inicio a su desarrollo.
Principales actuaciones del Plan Nacional de Seguridad
Del conjunto de 150 actuaciones contempladas en el Plan Nacional de Seguridad, estas son las principales medidas que se quieren poner en marcha cuanto antes:
Creación de la Plataforma Nacional de Notificación y Seguimiento de Ciberincidentes y Amenazas, a través de la cual organismos públicos y privados puedan intercambiar información en tiempo real sobre ciberataques y otras ciberamenazas. Se trata de crear una especie de red de vigías donde la colaboración público-privada es fundamental, es decir, su éxito va a residir en que organizaciones públicas y privadas compartan información sobre los ataques que hayan sufrido o puedan estar sufriendo.
Con la creación de esta plataforma y la información que se intercambie en ella, se podrá crear un sistema de indicadores de ciberseguridad a nivel nacional, que permitirá detectar amenazas y ataques cuando estos se produzcan o estén a punto de producirse.
Otra de las medidas es la puesta en marcha del Centro de Operaciones de Ciberseguridad de la Administración General del Estado y sus Organismos Públicos (COCS). Esta actuación ya fue anunciada en 2017, pero no ha sido hasta ahora cuando finalmente ha comenzado su despliegue, con la licitación del proyecto a la alianza establecida por Indra y Telefónica.
Entre las funciones el COCS estará la ejecución y gestión de la Plataforma de Notificación y Seguimiento. También lo será desarrollar una estrategia nacional común de ciberseguridad, con la que se puedan prevenir y detectar ciberataques a organismos públicos y empresas y tener preparados protocolos de actuación en caso de que estos se acaben produciendo.
El Plan también contempla la creación de infraestructuras de ciberseguridad en las comunidades y ciudades autónomas y en las entidades locales, que estarían coordinadas a través del COCS.
Así como el impulso de la ciberseguridad de pymes, micropymes y autónomos y promover entre estos y los organismos públicos, así como entre la ciudadanía un mayor nivel de cultura de ciberseguridad.
El Real Decreto-ley para la seguridad de las redes 5G
En paralelo, y vinculado con el Plan Nacional de Ciberseguridad, se ha aprobado el Real Decreto-ley para la seguridad de las redes y servicios de comunicaciones, también conocido como la ley de Ciberseguridad 5G, con el que España transpone las herramientas de la Comisión Europea para el despliegue seguro de las redes 5G en territorio europeo.
Entre otros aspectos, este Real Decreto-ley para ciberseguridad de redes 5G establece las siguientes obligaciones:
- Reforzar la seguridad en la instalación y operación de las redes 5G y en la prestación de los servicios de comunicaciones móviles e inalámbricas que utilicen dichas redes.
- Determinar el nivel de riesgo de los suministradores de redes y conectividad 5G en base a su nivel de seguridad y establecer los controles que estos operadores deben hacer en sus redes y cadenas de suministros.
- Los operadores y proveedores de 5G deberán analizar los riesgos de las redes, detectar vulnerabilidades y amenazas que puedan afectarles a nivel económico, de infraestructuras, recursos y servicios.
- Promover un mercado de suministradores de redes y conectividad 5G lo suficientemente diversificado y evitar la presencia de suministradores con una calificación de alto riesgo o de riesgo medio.
- Fortalecer la industria y fomentar las inversiones en I+D+i nacionales en materia de ciberseguridad en redes y tecnología 5G.
¿Qué implica para las empresas la aprobación del Plan Nacional de Seguridad?
Como hemos visto, entre las actuaciones que recoge el Plan Nacional de Seguridad está impulsar la ciberseguridad de las empresas, especialmente en pymes, micropymes y autónomos, ya que según diferentes estudios e informes, son las que suspenden en ciberseguridad, tanto por desconocimiento de las amenazas como por la falta de medidas para prevenirlas o responder a ellas de manera adecuada.
Esto implicará para muchas empresas tener que apostar por el fomento de esa cultura de la ciberseguridad, es decir, dedicar recursos a la formación y capacitación de su personal para evitar ser el punto más vulnerable de la cadena. El Plan de Recuperación establecía un presupuesto de 98 millones de euros para ayudar a pymes, micropymes y autónomos a conseguir este objetivo (el Kit Digital para la digitalización de este tipo de empresas y profesionales sería un ejemplo de ello, puesto que entre las herramientas a financiar también se incluyen aquellas destinadas a mejorar la ciberseguridad).