En los últimos años, la Agencia de la Unión Europea para la Ciberseguridad (ENISA) se ha ido convirtiendo en un recurso cada vez más importante para abordar los crecientes desafíos de este sector. La competencia de la Unión Europea en materia de ciberseguridad deriva del Artículo 5 del Tratado de la Unión Europea (TUE), que estipula la competencia compartida en áreas donde no hay competencia exclusiva.

Por lo tanto, la UE (y por extensión, la ENISA) deberían limitarse a los asuntos que los Estados miembros no puedan resolver de manera individual. Por esta razón, cada Estado miembro, junto con esta agencia europea, ha instaurado su propio marco institucional y organismos para lidiar con la ciberseguridad. Así, la ENISA se encarga de ayudar a los Estados miembros y a la Comisión, y de facilitar la cooperación y el intercambio de información.

Coordinación europea 

Actualmente, el principal punto de referencia legislativo para la ciberseguridad europea es la directiva SRI , aunque también se está debatiendo un texto actualizado y se espera que conduzca a la aprobación de la SRI 2 . 

Dada la naturaleza de las directivas europeas (Artículo 288 del Tratado de Funcionamiento de la Unión Europea, TFUE ), el texto se limita a indicar a los Estados miembros los resultados deseados, y les otorga autonomía suficiente como para diseñar sus propias agencias de ciberseguridad. 

Los Estados miembros tienen, entre otras, la obligación de identificar unas agencias específicas para que coordinen las políticas adoptadas y mantengan un nivel alto de ciberseguridad. Se trata de las autoridades nacionales competentes, los únicos puntos de contacto y los CSIRT (equipos de respuesta a incidentes de seguridad informática).

Los CSIRT, creados en 1990, son las organizaciones encargadas de recopilar y gestionar informes sobre incidencias y potenciales vulnerabilidades de software. Cada país tiene un número diferente de CSIRT que pueden ser acreditados por varios consorcios internacionales, como Trusted Introducer , First (Forum of Incident Response and Security Teams) y la Red CSIRT europea. 

La directiva SRI obliga a los Estados miembros a designar al menos un CSIRT para poder unirse a la Red Europea CSIRT. La mayoría solo ha designado un único CSIRT, aunque no todos: algunos países han escogido dos o tres. 

Los CSIRT se encargan de los incidentes y las posibles vulnerabilidades de las TI, mientras que las autoridades SRI competentes operan a nivel legislativo y de gestión. Estos son los organismos nacionales responsables de la seguridad de las redes y los sistemas de información en los sectores indicados en la directiva. También en este caso, cada Estado puede designar uno o más órganos competentes.

Si solo se designa una autoridad, esta se convierte automáticamente en el único punto de contacto. De lo contrario, el país debe indicar el organismo que actuará de intermediario para asegurar la cooperación con las autoridades de otros Estados miembros, la ENISA y la Red CSIRT.

Autoridades SRI competentes: el caso de Alemania, Francia e Italia

Como hemos podido comprobar, cada país tiene derecho a diseñar como quiera la estructura de sus organismos siempre y cuando respete las obligaciones de la directiva europea. Tomando como ejemplo a los tres países más poblados de la UE, lo primero que llama la atención es que los tres, hasta la fecha, han identificado una sola autoridad SRI. 

En Italia, la autoridad SRI es la nueva Agencia de Ciberseguridad . Antes de su creación en mayo de 2021, se habían señalado cinco autoridades: los ministerios de desarrollo económico, infraestructura, economía, salud y medioambiente; ahora definidos como “autoridades del sector” (Artículo 7 del Decreto legislativo 65/2018 ). Por tanto, la Agencia de Ciberseguridad constituye el único punto de contacto, y al mismo tiempo incluye al CSIRT italiano , que anteriormente formaba parte del departamento de información para la seguridad de la República (y que en consecuencia entraba dentro de la categoría de inteligencia). 

Como ya explicamos en otros artículos , la Agencia de Seguridad es autónoma en muchos sentidos. Sin embargo, está bajo la supervisión de la Presidencia del Consejo, que controla tanto la gestión del sector como el nombramiento del director (Roberto Baldoni) y subdirector (Nunzia Ciardi). Por su parte, la propia agencia está formada por ocho servicios generales, y estos a su vez se distribuyen en divisiones. La plantilla máxima prevista actualmente es de unas 300 personas, mientras que el presupuesto para 2022 alcanza los 41 millones de euros. No obstante, se espera que en los próximos años se produzca un aumento considerable de recursos.

En Francia, la autoridad competente es la Agencia nacional de la seguridad de los sistemas de información (ANSSI). Al igual que en Italia, la agencia forma parte de la Presidencia del Consejo. Concretamente, la agencia francesa forma parte de la Secretaría General de Defensa, un organismo que ayuda al Primer Ministro en el ejercicio de sus responsabilidades en cuestiones de defensa y seguridad nacional. Fundada por ley en 2009, la ANSSI se fijó inmediatamente unos objetivos ambiciosos , entre ellos, convertirse en la líder mundial en materia de ciberseguridad. Esta formulación ya no aparece en la mayoría de las versiones recientes de la estrategia francesa sobre ciberseguridad. 

En la cúspide de la ANSSI se encuentra la Dirección General , que incluye al Director General, Guillaume Poupard, así como al Director General Adjunto y al Jefe de Personal. Por debajo hay cuatro subdirecciones, y estas a su vez están formadas por divisiones. Sin contar con los salarios, el presupuesto de la ANSSI ascendió a unos 21 millones de euros en 2020, mientras que la plantilla incluía más de 500 funcionarios y 100 empleados.

Alemania también ha designado a una sola autoridad competente, la Autoridad Federal de Ciberseguridad (BSI). Al contrario que en Francia e Italia, este organismo no está bajo el mando del Primer Ministro (o Canciller, en este caso), sino que forma parte de la Dirección General de Ciberseguridad e Información, en el Ministerio de Interior . El órgano se creó en 1991, aunque hoy en día sus funciones están reguladas por una ley de 2009 . También se adoptaron medidas en años posteriores, una en 2015 , que anticipaba muchos elementos de la directiva europea promulgada el año siguiente, y otra tan solo hace unos meses. Con la última legislación , el gobierno alemán pretende fortalecer la BSI, especialmente en lo relativo a la protección del consumidor, la seguridad comercial y las redes móviles. 

En la cúspide de la BSI se encuentran el presidente, Arne Schönbohm, y el vicepresidente. La agencia se divide internamente en ocho divisiones, y estas a su vez se dividen en 18 filiales y varias secciones. Su presupuesto para 2021 ascendió a casi 200 millones de euros, y cuenta con una plantilla de 1550 personas.

Si bien es interesante, es difícil comparar los datos sobre los presupuestos y el número de trabajadores en estos organismos. No se debe únicamente a que los datos se han recopilado de diferentes fuentes con diferentes metodologías, sino también a que la ciberseguridad no constituye una responsabilidad exclusiva de una única organización en ningún país. Existen diferentes estructuras, como los ministerios o los sectores de defensa e inteligencia, que desempeñan un papel fundamental en este ámbito y por ello es complicado evaluar la voluntad de los países en materia de seguridad.

La relación entre los sectores de defensa e inteligencia

Como se ha mencionado más arriba, antes de la creación de la Agencia de Ciberseguridad italiana, el sector era competencia del Departamento de Información para la Seguridad de la República (DIS). Sin embargo, la nueva ley ha situado la agencia fuera del sector de inteligencia, aunque siguen quedando muchos vínculos entre estas dos secciones. Por otra parte, el subsecretario del gobierno a cargo de inteligencia está ahora, por ley, a cargo de la misma competencia en ciberseguridad. Asimismo, se asegura la coordinación con inteligencia mediante la presencia de representantes de agencias de inteligencia en el núcleo de la ciberseguridad, donde también participan representantes de varios ministerios. También se prevé la presencia de representantes del Ministerio de Defensa, garantizando así el nexo entre la Agencia y el Mando de Operaciones de Red (COR), el órgano de ciberseguridad bajo las órdenes del Jefe de Gabinete de Defensa. No obstante, en las normativas publicadas hasta ahora, no se menciona un vínculo explícito entre la agencia y el COR. 

La Autoridad Federal de Ciberseguridad alemana también surgió del sector de inteligencia . En sus inicios a principios de la década de los 90, el organismo lidiaba con la protección tecnológica de secretos de Estado. Pero con los años, la BSI se ha convertido en un órgano completamente independiente. Las relaciones con inteligencia se mantienen mediante el Centro Nacional para la Ciberdefensa , un órgano interinstitucional que incluye varias estructuras federales interesadas en la ciberseguridad. La BSI también mantiene relaciones con el ejército, que ostenta una importancia considerable en este sector en Alemania. De hecho, la ciberdefensa está asignada constitucionalmente a las fuerzas armadas. En 2017, se creó el Kommando Cyber -und Informationsraum (CIR), un órgano estimado a la altura de otros comandos de las fuerzas armadas alemanas , y encargado de la seguridad de las infraestructuras de ciberdefensa y de sistemas armamentísticos. Dada la estrecha relación entre defensa y ciberseguridad, el CIR apoya a la BSI en caso de necesidad. Sin embargo, debido a los estrictos límites constitucionales a los que está sometido el ejército alemán, solo puede proporcionar ayuda “administrativa”. De hecho, en caso de que se necesite desplegar personal militar en respuesta a un ciberataque a escala nacional, la constitución requiere una autorización previa por parte del parlamento.

Como hemos podido comprobar, en Francia la ANSSI forma parte de la Secretaría General de Defensa . La estructura garantiza la coordinación con el ejército e inteligencia. De hecho, la Secretaría General de Defensa tiene diversas competencias tanto en materia de defensa como de inteligencia, y se encarga de la dirección, propuesta, coordinación y reglamentación de los asuntos generales de defensa y seguridad nacional para el Presidente del Consejo de Ministros. Como también hemos podido observar, la Secretaría General de Defensa también responde ante el Presidente del Consejo de Ministros, quien a su vez también es responsable de las actividades de los servicios de inteligencia domésticos y extranjeros, aunque estos estén bajo las órdenes de los Ministerios de Interior y de Defensa, respectivamente.

Links:

Protección de datos en la UE: estudio comparativo de informes nacionales. Leer

Ciberdefensa en los países de la OTAN: modelos comparativos. Leer