L’agència de ciberseguretat serà operativa a principis de l’any vinent

En el marc d’implementació del Pla de transformació digital, que ha de permetre desenvolupar un “model digital de país en els pròxims anys”, el Govern ha aprovat l’Estratègia nacional de ciberseguretat així com la creació de l’Agència nacional de ciberseguretat (ANC) i la definició de les funcions de l’Equip de resposta a incidents (CSIRT), segons ha explicat avui el secretari d’Estat de Transformació Digital i Projectes Estratègics, César Marquina, que ha detallat que l’agència “s’espera que pugui estar plenament operativa el primer trimestre del 2022”.

L’agència, que en aquesta etapa inicial d’estructuració i definició d’equips i funcionaments dirigirà el mateix Marquina, tindrà com a principals objectius garantir la ciberseguretat, protegir la seguretat pública en el ciberespai, ser el punt de referència generador de confiança digital per a les entitats de les administracions públiques i també de les privades, i cooperar tant en l’àmbit nacional com en l’internacional. En aquest sentit, el secretari d’Estat ha remarcat que el nou organisme ha de servir per tenir una resposta més ràpida en cas de ciberatacs i també “anticipar-s’hi” i donar-hi “una resposta homogènia”.

Marquina, que ha admès que un cop estructurada l’agència caldrà comptar amb una persona “amb un rol molt més executiu”, ha explicat que es vol arrencar amb una “estructura minsa” i, si es necessita, comptar amb suport extern. S’estima que quan estigui plenament operativa el cost de l’agència sigui de “poc més de 400.000 euros anuals”, una quantitat que es confia que no assumeixi únicament l’Administració, sinó que hi hagi també col·laboració amb el sector privat.

Amb l’agència, que dependrà directament de la secretaria d’Estat de Transició Digital i Projectes Estratègics i comptarà a nivell organitzatiu amb un comitè especialitzat de ciberseguretat i amb una comissió de seguiment, es desenvoluparà també un Equip de resposta a incidents, un grup bàsicament tècnic que ha de poder donar resposta a qualsevol incident a les xarxes i els sistemes d’informació, promoure la seguretat proporcionant un servei de supervisió, detecció, alerta i resposta als incidents, i cooperar tant en l’àmbit nacional com en l’internacional en la identificació i resolució d’incidents.

D’altra banda, el secretari d’Estat de Transformació Digital i Projectes Estratègics, ha explicat que la redacció de la llei de ciberseguretat, bàsicament la transposició de la directiva de la UE sobre la seguretat de la xarxa i els sistemes d’informació, “es troba ja molt avançada” i s’està compartint amb els agents afectats, amb la voluntat de poder-la entrar a tràmit parlamentari durant el novembre vinent.

La llei, que abastarà aquelles institucions i empreses que puguin tenir “un rol important en el dia a dia del país” i per tant “una estructura crítica” però no les petites empreses, establirà “uns mínims” a complir en matèria de ciberseguretat i portarà associat un règim sancionador en cas d’incompliments. En aquest sentit, Marquina, que ha destacat que en aquesta fase inicial l’agència de ciberseguretat pot “començar a caminar” encara que la llei no estigui aprovada, ha remarcat que moltes empreses “no han esperat que es faci la llei per desenvolupar mesures de seguretat” i s'ha mostrat convençut que “ja avui es compleixen” els mínims que establirà la llei.

Així mateix, Marquina, que s'ha mostrat confiat que el Consell General pugui aprovar aquest text durant el primer semestre del 2022, ha detallat que es “preveu una entrada en vigor progressiva” i que, en determinats aspectes, es donaran “períodes de carència” per facilitar que “les empreses que estan sota l’abast de la llei s’hi puguin adaptar”.

El secretari d’Estat ha remarcat la importància de l’Estratègia nacional de ciberseguretat i més en un context com l’actual en què els ciberatacs han augmentat un 350%, i especialment els darrers temps els casos de ransomware en què els delinqüents bloquegen els ordinadors i demanen un rescat per alliberar-los. A més, Marquina, que ha precisat que el 98% dels ciberatacs es basen en l’enginyeria social, ha explicat que a nivell global fins a un 70% de les petites empreses no estan preparades per fer front a possibles ciberatacs.

D’aquesta manera, amb l’Estratègia nacional de ciberseguretat es persegueix quatre objectius: fomentar un ecosistema segur; coordinar, prevenir, mitigar i resoldre amenaces; l’establiment d’una cooperació entre el sector públic i el sector privat; i la cooperació internacional. Per assolir aquests objectius s’han previst fins a nou iniciatives: la creació d’un marc legal, que ja s’ha començat amb el decret de l’agència i el CSIRT o la llei que s’està a punt d’enllestir; la identificació i estudi de les interdependències per a la implantació de l’estratègia; l’elaboració d’un registre d’amenaces, tant nacional com d’àmbit europeu; la creació d’un partenariat publicoprivat; el desenvolupament d’un programa de sensibilització; la captació de recursos humans; l’avaluació i ampliació de les activitats del CSIRT amb un enfocament internacional; la planificació i organització d’exercicis cibernètics; i la cooperació internacional, participant en fòrums i grups de treball europeus.