El gobierno de la ciberseguridad

PRÓLOGO
JOSÉ MIGUEL GORDILLO LUQUE........................................................... 17
CAPÍTULO 1.
MARCO REGULATORIO DE LA CIBERSEGURIDAD
I
LA ESTRATEGIA EUROPEA DE CIBERSEGURIDAD: LA
LEGISLACIÓN DE LA UE QUE LA DESARROLLA
LETICIA LÓPEZ-LAPUENTE .................................................................... 25
1. Introducción: una transformación digital europea cibersegura en un entorno de amenazas complejo .............................. 25
2. Los principios rectores de la Estrategia Europea de Ciberseguridad............................................................................................. 27
3. La principal legislación en ciberseguridad de la UE .............. 31
3.1. Directivas sobre medidas para un alto nivel común de ciberseguridad en la Unión (Directivas NIS1 y NIS2)...................... 31
3.2. ENISA y el Reglamento de Ciberseguridad ............................ 35
3.3. El Reglamento de Ciberresiliencia........................................... 36
3.4. El Reglamento de Cibersolidaridad ......................................... 37
3.5. Reglamento DORA................................................................. 37
3.6. Directiva Europea sobre la Resiliencia de Entidades Críticas. 37
NORMATIVA COMUNITARIA PARA LA CIBERSEGURIDAD
EN EL SECTOR ELÉCTRICO
ROBERTO FERNÁNDEZ CASTILLA......................................................... 39
1. Introducción: El sector eléctrico y su exposición a un mundo
digitalizado ..................................................................................... 39
2. Regulación en materia de ciberseguridad en el sector de la
electricidad...................................................................................... 41
2.1. Reglamento 2019/941: Preparación frente a los riesgos en el
sector de la electricidad............................................................ 43
a. Razonamiento detrás del enfoque basado en riesgos................................................................................ 43
b. Evaluación y análisis de riesgos: los planes de preparación....................................................................... 44
c. Integración de la ciberseguridad en la seguridad
del suministro............................................................. 45
d. Conclusión: la importancia del Reglamento
2019/941 en la ciberseguridad del sistema eléctrico . 45
2.2. Reglamento (UE) 2019/943: Mercado interior de la electricidad ........................................................................................ 46
a. Consideraciones en materia de ciberseguridad ..... 47
b. Conclusión .................................................................. 48
2.3. Reglamento Delegado (UE) 2024/1366: Complemento del Reglamento (UE) 2019/943 en materia de ciberseguridad.......... 49
a. Objetivos específicos y medidas que implementa . 49
b. Ámbito subjetivo de aplicación ................................. 50
c. Disposiciones específicas en materia de ciberseguridad ............................................................................ 52
d. Conclusión: Relevancia y aportación al sistema
eléctrico europeo........................................................ 54
LEGISLACIÓN NACIONAL ESPECÍFICA EN MATERIA
DE SEGURIDAD NACIONAL, CIBERSEGURIDAD,
RESILIENCIA OPERATIVA
ROSA ORTUÑO ............................................................................................ 55
LEGISLACIÓN PENAL ESPECÍFICA CON IMPACTO EN
CIBERSEGURIDAD
DAVID VELÁZQUEZ................................................................................. 81
1. Normativa aplicable ...................................................................... 81
2. Delitos que afectan a la ciberseguridad en la legislación penal española .................................................................................... 87
2.1. Acceso ilegal a sistemas informáticos...................................... 87
2.2. Interceptación ilegal de datos informáticos............................. 90
2.3. Daños en datos, programas informáticos o documentos electrónicos.................................................................................... 90
2.4. Delitos de abuso de dispositivos (artículos 197 ter y 264 ter). 92
2.5. Otros delitos relacionados con la ciberseguridad .................... 94
III
OTRAS NORMATIVAS DISTINTAS DE CIBERSEGURIDAD
CON IMPACTO EN LA REGULACIÓN DE LA SEGURIDAD
DE LAS EMPRESAS
ROSA ORTUÑO.......................................................................................... 95
1. Datos: protección de datos (RGPD) y Estrategia Europea de
Datos (Data Act, Data Governance Act).................................... 95
2. Seguridad de la información: Cyber resilience Act...................... 106
3. Inteligencia artificial: IA Act........................................................ 106
4. El nuevo Reglamento sobre Seguridad de los Productos ...... 110
5. Ejemplo de normativa específica de productos por sector:
Sector sanitario: Reglamento de productos sanitarios ........... 111
6. Responsabilidad por daños por productos defectuosos ........ 112
7. Nota Final........................................................................................ 113
ESTRATEGIAS Y MARCO NORMATIVO DE CIBERSEGURIDAD
DE ESTADOS UNIDOS, AUSTRALIA, REINO UNIDO, BRASIL Y
MÉXICO
NOHAILA EL MOUDEN JAADOUNI....................................................... 117
1. Introducción.................................................................................... 117
2. Estrategias nacionales de ciberseguridad: análisis comparado. 118
2.1. La relevancia del análisis de las Estrategias Nacionales de Ciberseguridad ............................................................................ 118
a) Estados Unidos: The National Cybersecurity Strategy (2023) ...................................................................... 119
b) Australia: The 2023-2030 Australian Cyber Security
Strategy (2023-2030).................................................... 122
c) Reino Unido: The Government Cyber Security Strategy (2022-2030) .......................................................... 124
d) Brasil: Política Nacional de Cibersegurança (PNCiber) (2023) ................................................................... 126
e) México: La Estrategia Nacional de Ciberseguridad (2017).................................................................... 127
2.2. Sobre la necesidad de una mayor cooperación internacional... 129
CAPÍTULO 2.
LA CIBERSEGURIDAD Y LA DIRECTIVA NIS 2
RAFAEL SEBASTIÁN ................................................................................. 133
1. Introducción.................................................................................... 133
1.1. La amenaza fantasma: cómo actúan los piratas informáticos . 135
1.2. Tendencias en materia de ciberseguridad ................................ 139
1.3. La ciberseguridad. Una defensa activa.................................... 140
1.4. Una mirada al futuro .............................................................. 142
2. El marco normativo ....................................................................... 143
2.1. Legislación aplicable................................................................ 143
2.2. Panorama institucional........................................................... 147
2.3. El código de buen gobierno...................................................... 148
3. Ciberseguridad y gobierno corporativo .................................... 150
3.1. Notificación de ciberincidentes................................................ 151
3.2. La gobernanza de la ciberseguridad y la Directiva NIS 2....... 153
3.3. Los deberes de los administradores en materia de ciberseguridad 155
3.4. Asignación de la ciberseguridad a una comisión especializada . 158
3.5. Responsabilidad del Consejo.................................................... 159
3.6. Responsabilidad de la Comisión de Auditoría......................... 161
4. Conclusiones................................................................................... 162
Bibliografía............................................................................................... 165
CAPÍTULO 3.
COLABORACIÓN PÚBLICO-PRIVADA
EN MATERIA DE CIBERSEGURIDAD
I
MODELOS DE COLABORACIÓN PARA LA PREVENCIÓN
Y LA RESPUESTA COORDINADA ANTE INCIDENTES DE
SEGURIDAD
DAVID VELÁZQUEZ................................................................................. 171
II
LA CIBERSEGURIDAD DESDE LA PERSPECTIVA DE LA
ADMINISTRACIÓN PÚBLICA: PARTICULARIDADES
EXISTENTES Y ESTADÍSTICAS RELEVANTES.
RESPONSABILIDAD Y COLABORACIÓN DE LOS ÓRGANOS
DE SUPERVISIÓN Y CONTROL Y LA PROMOCIÓN DE
LA SEGURIDAD. NOVEDADES Y CAMBIOS DERIVADOS
DEL ANTEPROYECTO DE LA LEY DE COORDINACIÓN Y
GOBERNANZA DE LA CIBERSEGURIDADO
DAVID FRANCISCO BLANCO.................................................................. 183
1. La Ciberseguridad desde la Perspectiva de la Administración Pública: Particularidades Existentes.................................. 184
1.1. Introducción ............................................................................ 184
1.2. Particularidades existentes...................................................... 185
1.3. Estadísticas relevantes............................................................. 189
2. Responsabilidad y Colaboración de los Órganos de Supervisión, Control y la Promoción de la Seguridad...................... 191
2.1. Centro Criptológico Nacional.................................................. 191
2.2. Centro Nacional de Protección de Infraestructuras y Ciberseguridad .................................................................................... 195
2.3. Centro de Operaciones de Ciberseguridad de la Administración General del Estado y sus Organismos Públicos.............. 197
2.4. Mando Conjunto del Ciberespacio .......................................... 198
2.5. Instituto Nacional de Ciberseguridad de España.................... 199
3. Novedades y cambios derivados del Anteproyecto de Ley de
Coordinación y Gobernanza de la Ciberseguridad ................ 204
CAPÍTULO 4
GESTIÓN Y RESPUESTA ANTE INCIDENTES DE
CIBERSEGURIDAD
MARIO MONTES SANTAMARÍA............................................................. 211
1. Reacción penal frente a los incidentes de ciberseguridad..... 211
2. Riesgos penales asociados al pago en casos de ransomware. 218
CAPÍTULO 5
IMPLICACIONES DE CIBERSEGURIDAD EN LA
CONTRATACIÓN DE PRODUCTOS Y SERVICIOS
TECNOLÓGICOS
FRANCISCO JAVIER GARCÍA Y MARC CALVO CARMONA................. 225
1. La digitalización del sector eléctrico y la creciente importancia de la ciberseguridad................................................................ 225
2. El papel de los proveedores en la ciberseguridad de los operadores eléctricos............................................................................ 228
3. Pautas a seguir por los operadores eléctricos en la contratación de proveedores tecnológicos............................................... 229
3.1. Primer paso: determinación del régimen aplicable en materia
de ciberseguridad..................................................................... 230
3.2. Segundo paso: redacción del contrato...................................... 233
a) Cláusulas contractuales en cumplimiento del RD
2024/1366.................................................................... 233
b) Cláusulas contractuales de conformidad con el
RGPD........................................................................... 235
c) Garantías de cumplimiento ...................................... 236
d) Definición de las medidas de seguridad................. 237
e) Facultades de supervisión ........................................ 238
f) Asunción de responsabilidad................................... 238
g) Confidencialidad........................................................ 239
h) Restricciones a la subcontratación ........................... 239
i) Notificación de incidentes y deber de colaboración .............................................................................. 239
j) Facultad de terminación............................................ 241
k) Jurisdicción ................................................................. 241
4. Conclusiones................................................................................... 245
CAPÍTULO 6
CIBERAMENAZAS EN EL SECTOR ELÉCTRICO
JOSEP PEGUEROLES VALLÉS, FCO. JAVIER GARCÍA PÉREZ Y ROBERTO
FERNÁNDEZ CASTILLA............................................................................ 249
1. La red eléctrica como infraestructura crítica. Seguridad IT y
seguridad OT.................................................................................. 250
2. La generación, distribución y comercialización inteligente de
energía eléctrica. Vulnerabilidades intrínsecas de la Smart
Grid ................................................................................................... 251
3. Agentes implicados, atacantes, amenazas híbridas, geopolíticas ................................................................................................... 254
4. Cumplimiento en medidas de ciberseguridad......................... 259
5. Medidas de ciberseguridad para la Smart Grid....................... 261
6. Conclusiones................................................................................... 262
7. Referencias...................................................................................... 263