Revista AJA 1015-articulos

inline Rectangle nº 1.015 - 27 de febrero de 2025

Simplicidad frente a terceros: una exigencia del marco regulatorio de la ciberseguridad

inline Rectangle

Alberto Palomar Olmeda. Profesor Titular (Acred.) de Derecho Administrativo. Magistrado de lo contencioso-administrativo (EV). Abogado

El problema no es que nos hayan entrado las prisas a los europeos, sino que probablemente los esfuerzos normativos y gestores están produciéndose de una forma descompasada

En este marco es preciso reclamar simplicidad y reconocimiento mutuo de certificaciones o acreditaciones

En estos días se ha conocido el inicio de tramitación del Anteproyecto de ley de Coordinación y Gobernanza de la Ciberseguridad. Se trata de una iniciativa llamada a vertebrar la política española de ciberseguridad y a transponer tardíamente al derecho español la denominada Directiva Comunitaria NIS2, que en realidad es una actualización de la Directiva comunitaria sobre Redes y Sistemas Informáticos con el objetivo de crear un nivel común de ciberseguridad en todos los países de la Unión Europea.

Más allá de la transposición tardía, la remisión a un plazo temporal largo para la creación de la Agencia de Ciberseguridad y la necesidad de normas reglamentarias que la adapten, llevan a un planteamiento en el que, en el mejor de los casos (que se apruebe el Anteproyecto), sus determinaciones se van extendiendo en el tiempo.

El problema no es que nos hayan entrado las prisas a los europeos, sino que probablemente los esfuerzos normativos y gestores están produciéndose de una forma descompasada.

Hace poco tiempo, por ejemplo, que España decide la incorporación del ENS a los contratistas y los proveedores públicos inician procesos amplios de transformación y de control de sus procesos que incluyen acreditaciones de procedimientos y procesos junto con otras de productos.

Estas acreditaciones, según los casos, las situamos en organismos públicos o privados, pero conllevan procesos de adaptación y comprobación normativa de los procesos internos. Con carácter general podemos indicar que no se ha conseguido, en la actualidad, un proceso suficientemente claro que permita conocer de antemano las obligaciones concretas, los grados de la certificación, los procesos complejos o multiprocesos con riesgos diferenciados, ni en general se ha trasladado a los órganos de contratación una seguridad suficiente para determinar la capacidad y la idoneidad de los contratistas públicos. Es cierto, eso sí, que el Centro Criptológico Nacional realiza una labor didáctica y ejecutiva que ayuda mucho a generar la conciencia sobre el proceso, pero la labor de unos y otros no ha proyectado sobre los ciudadanos, los proveedores y los propios órganos de contratación una seguridad suficiente que permita entender integrado sin dificultades el marco de comprobación y certificaciones que exige el ENS.

No repuesto de este marco, no ultimada la gestión ni concretados los avances, se produce un giro de tuerca más con la necesidad de adaptar algunas empresas y, por tanto, proveedores públicos potencialmente, al esquema de la NIS2. Se trata de un proceso adicional, de una comprobación adicional y con otra visión estratégica, pero es evidente que se acabará proyectando sobre la contratación pública como de hecho ha ocurrido en la aplicación del ENS.

Simplicidad y esquemas de reconocimiento mutuo

En este marco es preciso reclamar simplicidad y reconocimiento mutuo de certificaciones o acreditaciones. Estamos creando regímenes diferenciados y cada uno lo remitimos a sus propias reglas y a sus propios marcos de comprobación y adveración. Esto es razonable porque provienen de marcos y de filosofías diferentes. Es aquí donde surge una duda ¿el proceso tiene que ser incrementalista o, en algún momento, podrá ser simplificado?

En estos momentos están sobre el tapete los procedimientos de adveración de ISO, el ENS, los de la NIS2 e incluso los del Esquema Europeo de Seguridad. Todos ellos –con diversas intensidades– se refieren a la acreditación de procedimientos en materia de ciberseguridad. Si no propiciamos esquemas de reconocimiento mutuo, de validación general o de reconocimiento de unos a otros vamos camino de ubicar a las empresas y a los proveedores en una carrera sin fin por la obtención de reconocimientos y acreditaciones sobre las que, realmente, tenemos que pensar por su coste, su confusión y la proyección de fragmentación de las exigencias que no ayudan a la comprensión general del proceso.

El que la Administración Pública, como muchos operadores privados, exijan de quienes se relacionan con aquellos, la comprobación de que sus procesos no dañan los de quienes contratan con ellos, es una exigencia añadida a la propia voluntad de concertación y es preciso que esta exigencia no resulte distorsionada con la aparición de círculos concéntricos de exigencias que no pueden reconocerse recíprocamente sus valores de cara a la adveración de sus virtudes y sus potencialidades.

En el momento actual, la sensación es que los diferentes legisladores ponen sobre la mesa exigencias específicas, creen en órganos y formas de comprobación diferentes y nadie está pensando en el usuario ni en simplificar la forma, el alcance y el coste de las exigencias de comprobación. Un esfuerzo en este sentido sería bien recibido por los usuarios y por quienes tienen que comprobar el cumplimiento de los requisitos evitando la situación de dispersión y potencial desorientación que, en estos momentos, está planteada. ■