{"id":92605,"date":"2023-12-07T17:51:58","date_gmt":"2023-12-07T16:51:58","guid":{"rendered":"https:\/\/eiposgrados.com\/?p=92605"},"modified":"2024-01-18T10:31:27","modified_gmt":"2024-01-18T09:31:27","slug":"security-strategy-3","status":"publish","type":"post","link":"https:\/\/eiposgrados.com\/eng\/blog-ciberseguridad\/regulacion-de-ciberseguridad\/","title":{"rendered":"Past, present and future of cybersecurity regulation"},"content":{"rendered":"\n<h6 class=\"wp-block-heading\"><\/h6>\n\n\n\n<p>El panorama regulatorio actual en materia de ciberseguridad est\u00e1 en un constante cambio en respuesta a su intento de afrontar las crecientes riesgos y amenazas, as\u00ed como desaf\u00edos tecnol\u00f3gicos que encara la sociedad. De esta forma, durante los \u00faltimos a\u00f1os se ha podido apreciar un <strong>paulatino avance de la normativa cyber tanto a nivel europeo como nacional.<\/strong><\/p>\n\n\n\n<h2 class=\"wp-block-heading\">\u00bfCu\u00e1l es el panorama normativo actual?<\/h2>\n\n\n\n<p>Echando la vista atr\u00e1s cinco a\u00f1os, nos encontr\u00e1bamos apenas con una Ley de Protecci\u00f3n de Infraestructuras Cr\u00edticas bastante asentada a nivel nacional, una Directiva NIS a nivel europeo que a\u00fan se encontraba pendiente de transponer al ordenamiento jur\u00eddico espa\u00f1ol, y un <a href=\"https:\/\/administracionelectronica.gob.es\/pae_Home\/pae_Estrategias\/pae_Seguridad_Inicio\/pae_Esquema_Nacional_de_Seguridad.html\" data-type=\"link\" data-id=\"https:\/\/administracionelectronica.gob.es\/pae_Home\/pae_Estrategias\/pae_Seguridad_Inicio\/pae_Esquema_Nacional_de_Seguridad.html\" target=\"_blank\" rel=\"noopener\">Esquema Nacional de Seguridad<\/a> cuya aplicaci\u00f3n directa era fundamentalmente a las Administraciones P\u00fablicas, adem\u00e1s de otros est\u00e1ndares o normativas sectoriales que ten\u00edan un foco espec\u00edfico. Pero poco m\u00e1s.<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img fetchpriority=\"high\" decoding=\"async\" width=\"1024\" height=\"683\" src=\"https:\/\/eiposgrados.com\/wp-content\/uploads\/2023\/12\/ciudad-inteligente-futurista-tecnologia-red-global-5g-1-1024x683.jpg\" alt=\"Ciudad Inteligente Futurista Tecnologia Red Global 5g (1)\" class=\"wp-image-92607\" title=\"\" srcset=\"https:\/\/eiposgrados.com\/wp-content\/uploads\/2023\/12\/ciudad-inteligente-futurista-tecnologia-red-global-5g-1-1024x683.jpg 1024w, https:\/\/eiposgrados.com\/wp-content\/uploads\/2023\/12\/ciudad-inteligente-futurista-tecnologia-red-global-5g-1-300x200.jpg 300w, https:\/\/eiposgrados.com\/wp-content\/uploads\/2023\/12\/ciudad-inteligente-futurista-tecnologia-red-global-5g-1-768x512.jpg 768w, https:\/\/eiposgrados.com\/wp-content\/uploads\/2023\/12\/ciudad-inteligente-futurista-tecnologia-red-global-5g-1-248x165.jpg 248w, https:\/\/eiposgrados.com\/wp-content\/uploads\/2023\/12\/ciudad-inteligente-futurista-tecnologia-red-global-5g-1-123x82.jpg 123w, https:\/\/eiposgrados.com\/wp-content\/uploads\/2023\/12\/ciudad-inteligente-futurista-tecnologia-red-global-5g-1-18x12.jpg 18w, https:\/\/eiposgrados.com\/wp-content\/uploads\/2023\/12\/ciudad-inteligente-futurista-tecnologia-red-global-5g-1-500x333.jpg 500w, https:\/\/eiposgrados.com\/wp-content\/uploads\/2023\/12\/ciudad-inteligente-futurista-tecnologia-red-global-5g-1-800x533.jpg 800w, https:\/\/eiposgrados.com\/wp-content\/uploads\/2023\/12\/ciudad-inteligente-futurista-tecnologia-red-global-5g-1-1280x853.jpg 1280w, https:\/\/eiposgrados.com\/wp-content\/uploads\/2023\/12\/ciudad-inteligente-futurista-tecnologia-red-global-5g-1-200x133.jpg 200w, https:\/\/eiposgrados.com\/wp-content\/uploads\/2023\/12\/ciudad-inteligente-futurista-tecnologia-red-global-5g-1.jpg 1500w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<p>Sin embargo, <strong>hoy en d\u00eda nos encontramos con un conjunto de regulaciones muy diferente y que a futuro se prev\u00e9 incluso que cambie<\/strong>. Entre ellas hay que destacar principalmente:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Ley NIS y su Reglamento de Desarrollo:<\/strong> la Directiva NIS se transpuso al ordenamiento jur\u00eddico espa\u00f1ol, definiendo la necesidad de tener la figura de un Responsable de Seguridad de la Informaci\u00f3n y concretando aquellos \u00e1mbitos a tener en cuenta en lo referente a la gesti\u00f3n de riesgos de seguridad y la notificaci\u00f3n de incidentes.<\/li>\n\n\n\n<li><strong>Directiva NIS 2<\/strong>: en paralelo, a nivel europeo se ha procedido a realizar una actualizaci\u00f3n de la Directiva anterior, en el que se ampl\u00eda el \u00e1mbito de aplicaci\u00f3n en busca de la homogeneizaci\u00f3n a nivel europeo y se eleva la necesidad de un respaldo por parte de los \u00d3rganos de Direcci\u00f3n. De esta forma, la Ley NIS y su Reglamento de Desarrollo a nivel nacional deben ser actualizados para cubrir con esta nueva Directiva.<\/li>\n\n\n\n<li><strong>Directiva CER<\/strong>: a la vez que se public\u00f3 la Directiva NIS 2, tambi\u00e9n se ha emitido a nivel europeo la actualizaci\u00f3n de la Directiva de la que parti\u00f3 la Ley de Protecci\u00f3n de Infraestructuras Cr\u00edticas<a id=\"_ftnref5\" href=\"#_ftn5\">[5]<\/a>, por lo que tambi\u00e9n se espera una actualizaci\u00f3n de la norma en este sentido.<\/li>\n\n\n\n<li><strong>Reglamento DORA<\/strong>: en el sector financiero se ha publicado este Reglamento que tiene un impacto m\u00e1s amplio si cabe y que act\u00faa como regulaci\u00f3n espec\u00edfica para todo el sector, tratando de unificar los requerimientos que afectan a un sector tan cr\u00edtico como este, en busca de un elevado nivel de resiliencia de todo el ecosistema financiero.<\/li>\n\n\n\n<li>Otras normativas a nivel europeo que pretenden completar la protecci\u00f3n del mercado europeo, como el <strong>Cyber Security Act<\/strong>, el <strong>Cyber Solidary Act<\/strong> o el <strong>Cyber Resilience Act<\/strong>.<\/li>\n\n\n\n<li><strong>Esquema Nacional de Seguridad actualizado<\/strong>: la necesidad de actualizar a los riesgos actuales de ciberseguridad una norma que detalla a nivel t\u00e9cnico requisitos de seguridad que deben cumplir las administraciones p\u00fablicas ha dado lugar a una nueva regulaci\u00f3n, que adem\u00e1s hace m\u00e1s hincapi\u00e9 si cabe en la necesidad de que aquellas entidades que trabajen con la Administraci\u00f3n P\u00fablica tambi\u00e9n cumplan con \u00e9l.<\/li>\n\n\n\n<li><strong>Actualizaciones de est\u00e1ndares, como ISO 27001, NIST, PCI-DSS o SWIFT CSP<\/strong>: el avance tecnol\u00f3gico, tanto en cuanto a los sistemas como a las ciberamenazas, hacen que los est\u00e1ndares est\u00e9n en constante evoluci\u00f3n para poder mantener un nivel de protecci\u00f3n acorde a la situaci\u00f3n actual.<\/li>\n<\/ul>\n\n\n\n<figure class=\"wp-block-image size-large\"><img decoding=\"async\" width=\"1024\" height=\"683\" src=\"https:\/\/eiposgrados.com\/wp-content\/uploads\/2023\/12\/ordenador-portatil-mazo-mesa-1-1024x683.jpg\" alt=\"Ordenador Portatil Mazo Mesa (1)\" class=\"wp-image-92608\" title=\"\" srcset=\"https:\/\/eiposgrados.com\/wp-content\/uploads\/2023\/12\/ordenador-portatil-mazo-mesa-1-1024x683.jpg 1024w, https:\/\/eiposgrados.com\/wp-content\/uploads\/2023\/12\/ordenador-portatil-mazo-mesa-1-300x200.jpg 300w, https:\/\/eiposgrados.com\/wp-content\/uploads\/2023\/12\/ordenador-portatil-mazo-mesa-1-768x512.jpg 768w, https:\/\/eiposgrados.com\/wp-content\/uploads\/2023\/12\/ordenador-portatil-mazo-mesa-1-248x165.jpg 248w, https:\/\/eiposgrados.com\/wp-content\/uploads\/2023\/12\/ordenador-portatil-mazo-mesa-1-123x82.jpg 123w, https:\/\/eiposgrados.com\/wp-content\/uploads\/2023\/12\/ordenador-portatil-mazo-mesa-1-18x12.jpg 18w, https:\/\/eiposgrados.com\/wp-content\/uploads\/2023\/12\/ordenador-portatil-mazo-mesa-1-500x333.jpg 500w, https:\/\/eiposgrados.com\/wp-content\/uploads\/2023\/12\/ordenador-portatil-mazo-mesa-1-800x533.jpg 800w, https:\/\/eiposgrados.com\/wp-content\/uploads\/2023\/12\/ordenador-portatil-mazo-mesa-1-1280x853.jpg 1280w, https:\/\/eiposgrados.com\/wp-content\/uploads\/2023\/12\/ordenador-portatil-mazo-mesa-1-200x133.jpg 200w, https:\/\/eiposgrados.com\/wp-content\/uploads\/2023\/12\/ordenador-portatil-mazo-mesa-1.jpg 1500w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\">\u00bfPor qu\u00e9 este incremento de presi\u00f3n regulatoria?<\/h2>\n\n\n\n<p>Esta situaci\u00f3n de cambio normativa hace frente a situaciones que se han vivido durante los \u00faltimos a\u00f1os, como la mayor sofisticaci\u00f3n de las ciberamenazas, un incremento de los ataques que van dirigidos a detener las operaciones de las organizaciones (como, por ejemplo, el ransomware), el aumento del teletrabajo a ra\u00edz de la pandemia del COVID-19, e incluso tensiones geopol\u00edticas que han incrementado los ciberataques entre naciones.<\/p>\n\n\n\n<p>Estos factores dan como resultado que gran parte de estas normas van dirigidas a <strong>aumentar la resiliencia frente a ciberataques<\/strong>, centr\u00e1ndose fundamentalmente en cuatro aspectos: <\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Un <strong>nuevo enfoque<\/strong> en el que la ciberseguridad est\u00e9 plenamente engarzada e integrada con la continuidad de negocio y la gesti\u00f3n de crisis. Esto es, la extensi\u00f3n de la ciberseguridad como disciplina trascienda m\u00e1s all\u00e1 del \u00e1mbito estrictamente preventivo y de protecci\u00f3n y por tanto que aporte a la resiliencia de las organizaciones.<\/li>\n\n\n\n<li><strong>Un adecuado gobierno de la seguridad en las entidades<\/strong>, con responsabilidades claras en materia de seguridad y una involucraci\u00f3n plena de la Alta Direcci\u00f3n.<\/li>\n\n\n\n<li>Un <strong>conjunto de medidas de seguridad que hagan <\/strong>frente a los principales problemas a los que se enfrentan las entidades en funci\u00f3n de su propia naturaleza, de forma que puedan focalizarse los esfuerzos en aquellos puntos de mayor riesgo.<\/li>\n\n\n\n<li>Unos <strong>mecanismos adecuados<\/strong> <strong>para gestionar y notificar los incidentes<\/strong>, de forma que las autoridades de supervisi\u00f3n puedan tener informaci\u00f3n para actuar y minimizar el da\u00f1o de los incidentes, tanto colaborando con las entidades afectadas como tratando de evitar la r\u00e1pida propagaci\u00f3n de estos.<\/li>\n<\/ul>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\">\u00bfQu\u00e9 podemos esperar en el futuro?<\/h2>\n\n\n\n<p>El avance de la tecnolog\u00eda, incluyendo por ejemplo la Inteligencia Artificial, la Computaci\u00f3n Cu\u00e1ntica u otras materias similares supondr\u00e1n la aparici\u00f3n de nuevos riesgos, y es por ello por lo que muchas de las normativas quedan abiertas a poder realizar una gesti\u00f3n de riesgos que permita a partir de ah\u00ed definir las medidas de seguridad m\u00e1s adecuadas. Sin embargo, y pese a que las normativas, como la Directiva NIS 2, pretende corregir debilidades observadas en las anteriores versiones como la falta de homogeneizaci\u00f3n, <strong>ser\u00e1 necesario continuar con la evoluci\u00f3n de estas para poder establecer un marco de referencia que garantice un nivel de protecci\u00f3n adecuado<\/strong> para la sociedad en general y las entidades en particular.<\/p>\n\n\n\n<p><strong>Glosario<\/strong><\/p>\n\n\n\n<p>[1] Directiva (UE) 2016\/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel com\u00fan de seguridad de las redes y sistemas de informaci\u00f3n en la Uni\u00f3n. <a href=\"https:\/\/www.boe.es\/doue\/2016\/194\/L00001-00030.pdf\" target=\"_blank\" rel=\"noopener\">https:\/\/www.boe.es\/doue\/2016\/194\/L00001-00030.pdf<\/a><\/p>\n\n\n\n<p>[1] Real Decreto 43\/2021, de 26 de enero, por el que se desarrolla el Real Decreto-ley 12\/2018, de 7 de septiembre, de seguridad de las redes y sistemas de informaci\u00f3n. <a href=\"https:\/\/www.boe.es\/diario_boe\/txt.php?id=BOE-A-2021-1192\" target=\"_blank\" rel=\"noopener\">https:\/\/www.boe.es\/diario_boe\/txt.php?id=BOE-A-2021-1192<\/a><\/p>\n\n\n\n<p>[1] Directiva (UE) 2022\/2555 del Parlamento Europeo y del Consejo de 14 de diciembre de 2022 relativa a las medidas destinadas a garantizar un elevado nivel com\u00fan de ciberseguridad en toda la Uni\u00f3n, por la que se modifican el Reglamento (UE) n\u00ba 910\/2014 y la Directiva (UE) 2018\/1972 y por la que se deroga la Directiva (UE) 2016\/1148 (Directiva SRI 2). <a href=\"https:\/\/www.boe.es\/buscar\/doc.php?id=DOUE-L-2022-81963\" target=\"_blank\" rel=\"noopener\">https:\/\/www.boe.es\/buscar\/doc.php?id=DOUE-L-2022-81963<\/a><\/p>\n\n\n\n<p><sup>[1]<\/sup> Directiva (UE) 2022\/2557 del Parlamento Europeo y del Consejo de 14 de diciembre de 2022 relativa a la resiliencia de las entidades cr\u00edticas y por la que se deroga la Directiva 2008\/114\/CE del Consejo. <a href=\"https:\/\/www.boe.es\/buscar\/doc.php?id=DOUE-L-2022-81965\" target=\"_blank\" rel=\"noopener\">BOE.es &#8211; DOUE-L-2022-81965 Directiva (UE) 2022\/2557 del Parlamento Europeo y del Consejo de 14 de diciembre de 2022 relativa a la resiliencia de las entidades cr\u00edticas y por la que se deroga la Directiva 2008\/114\/CE del Consejo.<\/a> <a href=\"https:\/\/www.boe.es\/buscar\/doc.php?id=BOE-A-2011-8849\" target=\"_blank\" rel=\"noopener\">https:\/\/www.boe.es\/buscar\/doc.php?id=BOE-A-2011-8849<\/a><\/p>\n\n\n\n<p>[1] Ley 8\/2011, de 28 de abril, por la que se establecen medidas para la protecci\u00f3n de las infraestructuras cr\u00edticas. <a href=\"https:\/\/www.boe.es\/buscar\/pdf\/2011\/BOE-A-2011-7630-consolidado.pdf\" target=\"_blank\" rel=\"noopener\">https:\/\/www.boe.es\/buscar\/pdf\/2011\/BOE-A-2011-7630-consolidado.pdf<\/a><\/p>\n\n\n\n<p>[1] Reglamento (UE) 2022\/2554 del Parlamento Europeo y del Consejo de 14 de diciembre de 2022 sobre la resiliencia operativa digital del sector financiero y por el que se modifican los Reglamentos (CE) n\u00ba 1060\/2009, (UE) n\u00ba 648\/2012, (UE) n\u00ba 600\/2014, (UE) n\u00ba 909\/2014 y (UE) 2016\/1011. <a href=\"https:\/\/www.boe.es\/buscar\/doc.php?id=DOUE-L-2022-81962\" target=\"_blank\" rel=\"noopener\">https:\/\/www.boe.es\/buscar\/doc.php?id=DOUE-L-2022-81962<\/a><\/p>\n\n\n\n<p>[1]Cyber Security Act: <a href=\"https:\/\/digital-strategy.ec.europa.eu\/en\/policies\/cybersecurity-act\" target=\"_blank\" rel=\"noopener\">https:\/\/digital-strategy.ec.europa.eu\/en\/policies\/cybersecurity-act<\/a><\/p>\n\n\n\n<p>[1] Cyber Solidarity Act: <a href=\"https:\/\/www.eu-cyber-solidarity-act.com\/\" target=\"_blank\" rel=\"noopener\">https:\/\/www.eu-cyber-solidarity-act.com\/<\/a><\/p>\n\n\n\n<p>[1] Cyber Resilience Act: <a href=\"https:\/\/digital-strategy.ec.europa.eu\/en\/policies\/cyber-resilience-act\" target=\"_blank\" rel=\"noopener\">https:\/\/digital-strategy.ec.europa.eu\/en\/policies\/cyber-resilience-act<\/a> [1] Real Decreto 311\/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad. <a href=\"https:\/\/www.boe.es\/buscar\/doc.php?id=BOE-A-2022-7191\" target=\"_blank\" rel=\"noopener\">https:\/\/www.boe.es\/buscar\/doc.php?id=BOE-A-2022-7191<\/a><\/p>\n\n\n\n<p><\/p>\n","protected":false},"excerpt":{"rendered":"<p>The current regulatory landscape regarding cybersecurity is constantly changing in response to its attempt to address the growing risks and threats, as well as technological challenges that society faces.<\/p>","protected":false},"author":1147,"featured_media":34193,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"footnotes":""},"categories":[332],"tags":[],"class_list":["post-92605","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-blog-ciberseguridad"],"acf":[],"_links":{"self":[{"href":"https:\/\/eiposgrados.com\/eng\/wp-json\/wp\/v2\/posts\/92605","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/eiposgrados.com\/eng\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/eiposgrados.com\/eng\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/eiposgrados.com\/eng\/wp-json\/wp\/v2\/users\/1147"}],"replies":[{"embeddable":true,"href":"https:\/\/eiposgrados.com\/eng\/wp-json\/wp\/v2\/comments?post=92605"}],"version-history":[{"count":0,"href":"https:\/\/eiposgrados.com\/eng\/wp-json\/wp\/v2\/posts\/92605\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/eiposgrados.com\/eng\/wp-json\/wp\/v2\/media\/34193"}],"wp:attachment":[{"href":"https:\/\/eiposgrados.com\/eng\/wp-json\/wp\/v2\/media?parent=92605"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/eiposgrados.com\/eng\/wp-json\/wp\/v2\/categories?post=92605"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/eiposgrados.com\/eng\/wp-json\/wp\/v2\/tags?post=92605"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}