Mafalda ve dos hombres abriendo zanjas en la calle. Intrigada les pregunta: “¿Buscando las raíces del problema nacional?”. Uno de ellos, le responde: “No, nena, es un escape de gas”. Ella se retira de la escena, pensando: “Como siempre, lo urgente no deja tiempo para lo importante”.
Hoy se publica en un diario nacional que el Ministerio del Interior va a dar el primer paso para reforzar la seguridad de las denominadas entidades críticas ante cualquier tipo de amenaza “de origen natural o humano”, desde sabotajes y ataques terroristas a las provocadas por catástrofes naturales o incidentes técnicos graves, como el gran apagón del 28 de abril que afectó a toda la península Ibérica. Para ello el ministro, Fernando Grande-Marlaska, presentará en el Consejo de Ministros el anteproyecto de la ley de Protección y Resiliencia de Entidades Críticas, con la que busca incrementar la actual protección que ya tienen estas infraestructuras imprescindibles para el normal funcionamiento de la actividad ciudadana ―entre las que se encuentran, por ejemplo, centrales energéticas, aeropuertos, hospitales y sistemas de suministro de agua, etc. ―, así como su capacidad para superar cualquier incidente que ponga en riesgo su funcionamiento. Entre las medidas que contempla el anteproyecto, incluye la posibilidad de que, “en casos debidamente motivados”, una entidad crítica de carácter privado pueda pedir al Ministerio del Interior la comprobación de los antecedentes de sus trabajadores que “desempeñen tareas sensibles” o tengan “acceso directo o remoto a sus instalaciones, información o sistemas de control”. Esta consulta deberá ser aprobada por la Secretaría de Estado de Seguridad y “será proporcionada y se limitará estrictamente a lo necesario, con el único fin de evaluar un posible riesgo para la seguridad de la entidad crítica de que se trate”. El texto, al que ha tenido acceso el diario EL PAÍS, detalla que la consulta incluirá “corroborar la identidad de la persona objeto de la comprobación”, “comprobar en el registro nacional o en el Sistema Europeo de Información de Antecedentes Penales los antecedentes penales la eventual constancia de delitos directamente relacionados con las funciones del puesto concreto” y revisar “la información de inteligencia y de cualquier otro tipo de la que dispongan las autoridades nacionales competentes”. El documento detalla que estas medidas de “acreditaciones o informes de idoneidad” vienen recogidas en la directiva de la Unión Europea (UE) 2022/2555, conocida como NIS 2 del año 2022 que Interior traspone con esta ley.
El anteproyecto recoge en su exposición de motivos que el objetivo de la nueva norma es modernizar el marco legal existente en la actualidad para poder responder a amenazas cada vez más complejas, incluidas las llamadas híbridas (actuaciones que buscan desequilibrar las condiciones de seguridad de un estado sin superar el umbral de la agresión armada convencional). Para ello, la propuesta de Interior plantea la necesidad de que las propias entidades críticas evalúen los riesgos a los que se enfrentan y, en los seis meses siguientes, elaboren un plan de resiliencia que incluya medidas de prevención, respuesta y recuperación ante ellos con el objeto de garantizar la continuidad de la prestación de los servicios esenciales para la sociedad y la economía. Ese plan de resiliencia ―que las entidades deberán remitir a la Secretaría de Estado de Seguridad para su validación― tendrá que detallar “las medidas técnicas, organizativas y de seguridad” para, por ejemplo, “evitar que se produzcan incidentes, valorando especialmente medidas de reducción del riesgo de catástrofes y de adaptación al cambio climático”. También deberá “garantizar una protección física adecuada de sus instalaciones y de la infraestructura crítica” con especial atención a “las vallas, las barreras, las herramientas y rutinas de vigilancia perimetral, los equipos de detección y los controles de acceso, entre otros”. Las Fuerzas de Seguridad elaborarán también “planes de apoyo operativo” de cada una de las infraestructuras críticas que contemplen “medidas de vigilancia, prevención o reacción complementarias a las previstas por la entidad crítica”.
Interior quiere también que en estos planes de resiliencia las entidades públicos y privados consideradas como críticas recojan las medidas para ser capaces de “responder y resistir a las consecuencias de los incidentes y mitigarlas” y, además, “recuperarse de incidentes, atendiendo en especial a medidas de continuidad de las actividades y la identificación de cadenas de suministro alternativas, a fin de retomar la prestación del servicio esencial”. Las entidades críticas deberán designar a “una persona, unidad u órgano como responsable de seguridad y resiliencia”, que además de ser el responsable del cumplimiento de los planes de respuesta, será el punto de contacto con las autoridades. Esta persona deberá contar con una habilitación como director de seguridad expedida por Interior. El texto plantea que la Secretaría de Estado de Seguridad siga siendo el órgano competente de coordinar a todos los actores, tanto públicos como privados. Lo hará, como hasta ahora, a través del Centro Nacional de Protección de Infraestructuras Críticas (CNPIC), que será rebautizado una vez se apruebe la ley con el nombre de Centro Nacional para la Protección y Resiliencia de Entidades Críticas (CNPREC). Este organismo será el encargado de elaborar el plan que “permitirá dirigir y coordinar las actuaciones precisas para fortalecer la seguridad de las entidades críticas y de sus infraestructuras, con el objetivo de garantizar la prestación de los servicios esenciales”.
Este proyecto de ley es la trasposición a una Directiva europea aprobada en diciembre del año 2022 que buscaba precisamente implicar a entidades públicas y privadas relacionadas con las infraestructuras críticas de toda la Unión Europea, realizasen evaluaciones de riesgos, adoptasen medidas y se comprometieran a notificar a los gobiernos cualquier incidente significativo que pudiera poner en peligro los servicios que prestan. La directiva ya ponía el foco en el riesgo derivado de catástrofes naturales y el cambio climático, del que destacaba que había intensificado la frecuencia y la magnitud de los fenómenos meteorológicos extremos que amenazan “la capacidad, la eficiencia y la vida útil de determinados tipos de entidades e infraestructuras si no existen medidas de adaptación a dicho fenómeno”, según recuerda ahora el Ministerio del Interior https://tinyurl.com/558wpzm5
La Directiva (UE) 2022/2555, conocida como NIS 2, es una normativa europea que establece para garantizar un elevado nivel común de medidas de ciberseguridad en toda la Unión Europea. Entró en vigor el 16 de enero de 2023 y los Estados miembros de la Unión debían transponerla a su legislación nacional antes del 17 de octubre de 2024 https://tinyurl.com/mrcfsh3n Los objetivos de la NIS 2 que actualiza y reemplaza a la Directiva NIS original de 2016, son abordar las deficiencias detectadas en su implementación y adaptarse al creciente panorama de amenazas cibernéticas. Busca establecer un marco legal más sólido para mejorar la resiliencia de las infraestructuras críticas y los servicios esenciales en la UE. La directiva amplía significativamente su alcance, incluyendo a 18 sectores divididos en:
- Sectores de alta criticidad : energía, transporte, salud, banca, infraestructura digital (telecomunicaciones), agua potable, aguas residuales, administración pública, espacio, entre otros.
- Otros sectores críticos : servicios postales, gestión de residuos, industria química, alimentación, proveedores digitales, investigación, etc.
La Clasificación de entidades son:
- Entidades esenciales : grandes organizaciones en sectores de alta criticidad.
- Entidades importantes : medianas y grandes organizaciones en otros sectores críticos.
Además, ciertas entidades, como proveedores de servicios de confianza y registradores de dominios, están sujetas a la directiva independientemente de su tamaño.
Las entidades sujetas a NIS 2 deben implementar una serie de medidas técnicas y organizativas, que incluyen:
- Gestión de riesgos de ciberseguridad : políticas de seguridad, análisis de riesgos, gestión de incidentes, continuidad del negocio, entre otros.
- Seguridad en la cadena de suministro : evaluación de la seguridad de productos y servicios contratados, implementación de medidas de gestión de riesgos con proveedores.
- Notificación de incidentes : obligación de informar a las autoridades competentes sobre incidentes significativos en plazos específicos.
- Responsabilidad de la alta dirección : los órganos de dirección deben aprobar y supervisar las medidas de ciberseguridad, siendo responsables de su cumplimiento.
La Directiva europea establece sanciones más severas para garantizar el cumplimiento de la misma:
- Entidades esenciales : multas de hasta 10 millones de euros o el 2% del volumen de negocios anual total.
- Entidades importantes : multas de hasta 7 millones de euros o el 1,4% del volumen de negocios anual total.
Los plazos y transposición de dicha Directiva eran:
- Entrada en vigor : 16 de enero de 2023.
- Transposición a legislaciones nacionales : antes del 17 de octubre de 2024.
- Identificación de entidades esenciales e importantes : hasta el 17 de abril de 2025.
- Evaluación de la directiva : la Comisión Europea presentará un informe antes del 17 de octubre de 2027 .
Esta Directiva europea NIS 2 representa un avance significativo en la armonización de la ciberseguridad en toda la Unión Europea, al ampliar su ámbito de aplicación y establecer requisitos más estrictos, busca fortalecer la resiliencia de las infraestructuras críticas frente a amenazas cibernéticas.
Sin embargo, su implementación presenta desafíos:
- Transposición desigual : algunos Estados miembros no han transpuesto la directiva en los plazos establecidos como sucedía hasta ahora en nuestro país, lo que puede generar inconsistencias en su aplicación al dejar puertas abiertas precisamente a esos ataques cibernéticos.
- Carga para las pymes : aunque la directiva se centra en medianas y grandes empresas, ciertas pymes críticas también están sujetas a sus requisitos, lo que puede representar una carga económica significativa para ellas.
- Necesidad de recursos : la implementación efectiva de las medidas requeridas demanda recursos humanos y financieros, lo que puede ser un obstáculo para algunas organizaciones que carecen de dichos recursos.
En conclusión, esta Directiva NIS 2 establece un marco robusto para mejorar la ciberseguridad en la UE, pero su éxito dependerá de una implementación efectiva y equitativa en todos los Estados miembros.
Lo primero que hay que decir es que Telefónica está afectada de lleno por el contenido de dicha directiva europea, al tener centros nacionales con una criticidad alta al ser los gestores y garantes del funcionamiento de las infraestructuras críticas como sucede por ejemplo con: CNSO o CNAI. Los Centros Nacionales de Telefónica, son instalaciones clave para la gestión de la red y servicios de Telefónica de España. Estos se encuentran en diferentes ubicaciones geográficas de España, desempeñando un papel crucial en la operación y mantenimiento de la infraestructura tecnológica. El CNSO (Centro Nacional de Supervisión y Operación) y el CNAI (Centro Nacional de Acceso Inalámbrico) se encargan de gestionar aspectos como la red móvil, la red fija, los servicios de datos, y la asistencia técnica a los clientes. Son por tanto, instalaciones de gran importancia para el funcionamiento de la red y servicios para la sociedad española.
En enero del año 2023 entró en vigor la NIS 2. Una Directiva europea cuando entra en vigor, no implica que se aplique directamente en cada estado miembro, lo que si establece la misma es que se alcance un objetivo que fija la misma por parte de los Estados miembros. Por tanto, son ellos los que deciden la trasposición a sus legislaciones correspondientes. Sabiendo como se sabía cuáles son los objetivos que fija dicha Directiva europea, llama la atención y sonroja que en algún centro de esta criticidad como los descritos anteriormente se hayan producido salidas de personal por aplicaciones de EREs como en el último aprobado, ERE ETOP 157/23 https://tinyurl.com/mph8d6k9, por el Ministerio de Trabajo que dirige, Yolanda Díaz. El mismo fue aprobado por el anterior equipo directivo de Telefónica que presidía el destituido, Álvarez-Pallete, y bendecido por las organizaciones sindicales mayoritarias, UGT, CCOO y Sumados Fetico. Las inscripciones en el ERE arrancaron el 9 de enero del año 2024. El primer plazo de inscripción duró hasta el 8 de febrero. El día 14 de febrero Telefónica aceptó o no las solicitudes y las salidas se produjeron el día 29 de febrero del año 2024 https://tinyurl.com/4xpsv388 La pregunta del millón de euros es la siguiente, ¿Qué se estudió para aprobar dicho ERE estando ya aprobada la Directiva NIS 2 por el Consejo de la Unión Europea y el Parlamento Europeo?
Otra cuestión importante de dicha directiva NIS 2, es que cierra cualquier atisbo a lo sucedido hasta la fecha dentro de Telefónica con la externalización de dichas infraestructuras críticas. Con el argumento de los mal llamados ahorros de costes que se utilizaron para proponer (equipo directivo de Telefónica) y aprobar (Ministerio de Trabajo) dicho ERE, con la directiva NIS 2 dichas infraestructuras entran dentro del paraguas de control del ámbito europeo (Comisión Europea) y nacional (Gobierno español). Este es un paso más en la buena dirección que fijo el informe que redactó el exprimer ministro finlandés por encargo de la Comisión Europea, de Sauli Niinistö. El mismo pretende reforzar la resiliencia frente a lo que pueda venir de fuera. Lo que está por venir no es lo mismo que amenazaba la seguridad de los europeos durante las últimas décadas. Los peores escenarios son ahora posibles y el informe advierte a la UE de los riesgos climáticos, bélicos, tecnológicos e híbridos que pueden acabar con su seguridad y prosperidad si no se adoptan medidas para prevenirlos y mitigarlos. A diferencia también de los anteriores, la seguridad ya no depende mayoritariamente de las fuerzas e instituciones de seguridad y la participación privada es indispensable porque la seguridad de Europa depende de que cada componente civil o militar asuma su responsabilidad. La disociación civil-militar aumenta la vulnerabilidad de las sociedades y disminuye su capacidad de recuperarse. En este nuevo contexto, la OTAN, la UE y las Fuerzas Armadas nacionales deben prepararse para mejorar su resiliencia frente a los retos de defensa, pero los actores civiles deben prepararse igualmente para disminuir su exposición a riesgos que no son de naturaleza militar como la desestabilización de las amenazas híbridas, la inseguridad de las cadenas de suministro o la disrupción tecnológica, entre otras que se reflejan en las figuras adjuntas.
Para terminar el post quiero volver al comienzo y manifestar que la competencia, nota distintiva de la sociedad actual, ha llevado a confundir dichos términos. Lo urgente se ha apropiado del significado de lo importante, de modo que todo lo urgente acaba siendo sinónimo de importante… ¿Cuál es el espacio que le queda a lo importante? Quien corre está más pendiente de su ritmo y velocidad sin reparar en lo que el entorno le ofrece. Eso parece que ha tocado a su fin en Telefónica tras 28 años de dicha práctica con la misma política, el resultado está en sus métricas.
Decía el escritor ruso Turgueniev, en su novela, ‘Padres e hijos’ que el “hombre se encuentra particularmente bien cuando ni siquiera se da cuenta si el tiempo pasa despacio o deprisa”. Lo cual ocurre cuando se toma el tiempo para realizar acciones que concurran al crecimiento personal. El mejor modo de aprovechar el tiempo es creciendo como personas, lo que no significa que no se hagan cosas sino que tenga sentido el hacerlas, es decir, que ayuden a formalizarnos en tanto seres racionales y libres. La coyuntura actual que nos llega de Europa por motivos geoestratégicos son los de definir lo importante frente a lo urgente, parece que ya se han definido y por tanto… Todo lo que no sea converger con dicha realidad y hoja de ruta es retroceder a lo marcado que está en vigor.
Ya lo dijo Esopo: “La insignificancia es siempre una garantía de seguridad”.
No hay comentarios:
Publicar un comentario