¿Por qué una Estrategia Nacional de Ciberseguridad y qué debe incluir?

Tras la Directiva NIS 2, cada Estado miembro debe adoptar una estrategia nacional de ciberseguridad que establezca objetivos estratégicos, recursos y medidas políticas y normativas para alcanzar y mantener un alto nivel de ciberseguridad.

STAY UPDATED

Subscribe to stay current on ILP Insights

Presentamos la colaboración también en vídeo por si prefieres este formato:

¿Qué debe incluir la Estrategia Nacional de Ciberseguridad?

Esta estrategia debe incluir:

Primero: debe incluir objetivos y prioridades en determinados sectores críticos.

Segundo: debe incluir un mecanismo para identificar los activos relevantes y una evaluación de los riesgos de ciberseguridad.

Tercero: debe incluir medidas para garantizar la preparación, la capacidad de respuesta y la recuperación frente a incidentes, incluyendo la cooperación público-privada.

Cuarto: debe incluir un plan para aumentar la concienciación ciudadana sobre ciberseguridad.

Además, se deben adoptar políticas para:

1. 1. Abordar la ciberseguridad en la cadena de suministro de productos y servicios TIC.
   2. Incluir requisitos de ciberseguridad en la contratación pública.
   3. Gestionar las vulnerabilidades, incluyendo la divulgación coordinada.
   4. Mantener la disponibilidad, integridad y confidencialidad de la internet abierta.
   5. Promover tecnologías avanzadas para la gestión de riesgos de ciberseguridad.
   6. Fomentar la educación, la formación y la investigación en ciberseguridad.
   7. Apoyar el intercambio voluntario de información sobre ciberseguridad entre entidades.
   8. Reforzar la ciberresiliencia de las pequeñas y medianas empresas. Y
   9. Promover la ciberprotección activa.

Quinto:  Se deben designar o establecer autoridades competentes para la ciberseguridad y la supervisión.

Sexto: También se deben designar puntos de contacto únicos para coordinar cuestiones de seguridad y cooperación transfronteriza.

Séptimo: Se deben crear equipos de respuesta a incidentes de seguridad informática (CSIRT) para gestionar incidentes de seguridad. De hecho, se establece una red de CSIRT para fortalecer la cooperación entre los Estados miembros12.

Octavo: Se crea la red europea de organizaciones de enlace para las crisis de ciberseguridad (EU-CyCLONe) para gestionar incidentes y crisis de ciberseguridad a gran escala.

Noveno: Gestión de Riesgos y Notificación de Incidentes:

• • Las entidades esenciales e importantes deben tomar medidas para gestionar los riesgos de ciberseguridad. Estas medidas deben ser proporcionales a los riesgos y al impacto potencial de los incidentes.
  • Se deben notificar los incidentes significativos a las autoridades competentes. En este punto, se promueve la divulgación coordinada de vulnerabilidades y se crea una base de datos europea de vulnerabilidades.

Décimo: Cooperación e Intercambio de Información:

• • Se establece un Grupo de Cooperación para facilitar la cooperación entre los Estados miembros.
  • Se promueven los mecanismos de intercambio de información sobre ciberseguridad entre entidades.
  • Se establecen revisiones interpares para aprender de las experiencias compartidas y mejorar las capacidades de ciberseguridad.

Si te ha gustado este artículo, también puede resultarte interesante la lectura del siguiente: DIRECTIVA NIS 2 (También conocida como SRI2)