El Centro Nacional de Ciberseguridad y el arriesgado objetivo de acabar con la dispersión competencial

El Consejo de Ministros ha aprobado el Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad, fruto del trabajo conjunto de los ministerios del Interior, de Defensa y para la Transformación Digital y de la Función Pública. Esta norma, que viene a incorporar a nuestro ordenamiento la Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, conocida como NIS-2, incluye un repertorio de medidas destinadas a garantizar un elevado nivel común de ciberseguridad en todo el espacio europeo.

La gran novedad que aporta este texto es la creación de un Centro Nacional de Ciberseguridad. Citado hasta en 67 ocasiones durante todo el anteproyecto, la exposición de motivos ya nos alerta que este organismo nace para superar la actual dispersión competencial en materia de ciberseguridad, constituyéndose como la única autoridad nacional competente en la dirección, impulso y coordinación de todas las actividades previstas en esta norma, como punto de contacto exclusivo para garantizar la cooperación intersectorial y transfronteriza con otras instituciones competentes, así como autoridad nacional de referencia en cuanto a la gestión de las distintas crisis de ciberseguridad que acontezcan en nuestro país.

El artículo 6 de la norma se detiene a definir al Centro Nacional de Ciberseguridad y a delimitar sus funciones. Los párrafos primero y segundo vienen a reiterar lo fijado en la exposición de motivos. Tras ello, la futura ley recoge en cinco sencillos apartados los distintos cometidos de la autoridad nacional competente única en materia de gobernanza de la ciberseguridad.

El primero de ellos redunda en la descripción de esta institución como la corporación superior para la gobernanza y coordinación de las actividades en materia de ciberseguridad previstas en esta ley y en su futura normativa de desarrollo. El apartado b) insiste en el planteamiento de delimitar al Centro Nacional de Ciberseguridad como la única autoridad nacional competente en el amplio ámbito de la ciberseguridad, sin perjuicio de la existencia de autoridades de control y puntos de contacto sectoriales que actuarán bajo su coordinación.

El tercer apartado nos revela la obligación del centro de tener que informar al público sobre los posibles incidentes que afecten a más de una autoridad de control y de las hipotéticas crisis de ciberseguridad a gran escala, cuando la difusión de dicha información sea necesaria para evitar un incidente o gestionar uno que ya se haya producido.

Sede del Instituto Nacional de Ciberseguridad (Incibe), dependiente del Ministerio para la Transformación Digital y de la Función Pública. (Imagen: Incibe)

El cuarto cometido señala el deber de este organismo de establecer, en situaciones excepcionales de justificada necesidad y con el debido asesoramiento de las autoridades de control, las obligaciones específicas para garantizar la seguridad de las redes y sistemas de información. Por último, el apartado e) detalla la función de promover y aprobar, llegado el caso, el uso de estándares, guías, especificaciones, instrucciones técnicas, así como cualquier otra disposición en materia de seguridad de las redes y sistemas de información.

La disposición adicional primera de la norma informa que el Gobierno aprobará, en el plazo máximo de 12 meses desde que se produzca la entrada en vigor de esta ley, el oportuno Real Decreto en el que se determine el rango, carácter y estructura administrativa del repetido Centro Nacional de Ciberseguridad, el cual estará adscrito al Gabinete de la Presidencia del Gobierno.

¿Y el Incibe?

La creación del nuevo Centro Nacional de Ciberseguridad ha abierto una interesante disputa estratégica: ¿qué labor asumirá a partir de ahora el Instituto Nacional de Ciberseguridad de España (Incibe)? ¿absorberá el nuevo organismo las distintas competencias que a día de hoy ejercen otras entidades o su papel se reducirá a la mera dirección, impulso y coordinación de estas?

Como es seguramente sabido, el Incibe es una sociedad dependiente del Ministerio para la Transformación Digital y de la Función Pública a través de la Secretaría de Estado de Telecomunicaciones e Infraestructuras Digitales que nació en el año 2006 y que está consolidada como entidad de referencia para el desarrollo de la ciberseguridad y de la confianza digital de ciudadanos, red académica y de investigación, profesionales, empresas y especialmente para sectores estratégicos.

Todo parece indicar que será el desarrollo normativo arriba indicado el que deberá despejar este debate, delimitando el nuevo reparto de competencias ejecutivas para evitar duplicidades y especificando la jerarquía efectiva entre organismos como el Incibe, el Centro Criptológico Nacional o el Mando Conjunto del Ciberespacio.