El objetivo del presente FOCUS es precisamente analizar si la creación del nuevo Centro Nacional de Ciberseguridad (CNC) es realmente necesaria y evaluar cómo este nuevo ente encajará en un ecosistema donde ya existen múltiples organismos con competencias en ciberseguridad. Para ello, se explora el panorama actual de la ciberseguridad en nuestro país, las razones detrás de esta decisión gubernamental y el impacto que podría tener en la Estrategia Nacional de Ciberseguridad. Todo con el objetivo de determinar si la creación del Centro Nacional de Ciberseguridad responde realmente a una necesidad estratégica o si, por el contrario, no es más que una forma de duplicar competencias, provocando con ello confusión e ineficiencias.
Índice
- Introducción
- El ecosistema actual de la ciberseguridad en España
- Presentando al Centro Nacional de Ciberseguridad: más incógnitas que hechos
- Valoración
- Bibliografía
Introducción
En uno de los Consejos de Ministros celebrado en febrero de 2022, el Gobierno anunció la creación de un nuevo organismo para reforzar la ciberseguridad nacional: el Centro Nacional de Ciberseguridad (CNC).
No obstante, no ha sido hasta el mes de enero del presente año, cuando la prensa se ha hecho eco de la inminente creación de este ente público, tras la aprobación del anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad.
Esta ley tiene como objetivo transponer finalmente al ordenamiento jurídico español la Directiva (UE) 2022/2555, más conocida como NIS2, que debió ser transpuesta por los Estados miembros antes del 17 de octubre de 2024, para garantizar un estándar común en la ciberseguridad de la Unión Europea.
En un contexto marcado por el aumento exponencial de ciberataques y el auge de amenazas cibernéticas, parece resultar obvia la necesidad de crear un organismo que centralice la gestión de ciberamenazas en sectores críticos para la seguridad nacional.
Sin embargo, la existencia en nuestro país de instituciones clave en el ámbito cibernético, como son el Instituto Nacional de Ciberseguridad (INCIBE), el Centro Criptológico Nacional (CCN), o el Centro Conjunto de Ciberespacio de las Fuerzas Armadas, además de las unidades especializadas en Policía Nacional y Guardia Civil, plantean interrogantes sobre la creación de un nuevo organismo adscrito a la Secretaría General de Presidencia del Gobierno que duplique competencias y añada aún más complejidad a la coordinación interinstitucional (Lacort, 2025).
El objetivo del presente FOCUS es precisamente analizar si la creación del CNC es realmente necesaria y evaluar cómo este nuevo ente encajará en un ecosistema donde ya existen múltiples organismos con competencias en ciberseguridad.
Para ello, exploraremos el panorama actual de la ciberseguridad en nuestro país, las razones detrás de esta decisión gubernamental y el impacto que podría tener en la Estrategia Nacional de Ciberseguridad.
El ecosistema actual de la ciberseguridad en España
Hasta la aprobación exigida por la NIS2 del anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad, el entramado institucional español enfocado a la ciberdefensa ha venido descansando sobre tres pilares fundamentales: el Instituto Nacional de Ciberseguridad (INCIBE), el Centro Criptológico Nacional (CCN) y el Mando Conjunto del Ciberespacio (MCCE).
Tres pilares que se complementaban además por las unidades especializadas de Policía Nacional y Guardia Civil encargadas de investigar y perseguir el cibercrimen, especialmente de aquellos delitos de carácter económico y vinculados al terrorismo.
Cada uno de estos organismos cuenta con unas funciones y competencias específicas que conforman una estructura de roles definidos. Un entramado que ahora se ve en peligro frente a la ambigüedad de un anteproyecto que no termina de aclarar si el nuevo CNC, más allá de presentarse como un «órgano de coordinación/supervisión”, terminará por absorber las competencias de alguno de los pilares fundamentales mencionados.
Pero, ¿cuál es hasta el momento la estructura de roles existente en la ciberdefensa española? Para dar respuesta a esta pregunta, conviene detallar las competencias que asumen actualmente cada uno de estos organismos.
En primer lugar, con sede en León y adscrito al Ministerio de Asuntos Económicos y Transformación Digital, encontraríamos al Instituto Nacional de Ciberseguridad (INCIBE). Un organismo centrado en la prevención y respuesta de incidentes de ciberseguridad que afecten en su mayor parte al sector privado (especialmente a pymes que no cuentan con un músculo económico suficiente como para tener su propio departamento de ciberseguridad) y a la ciudadanía en general.
Además de actuar como CERT, el INCIBE tiene la misión de sensibilizar y concienciar a la ciudadanía sobre los riesgos que presenta el ciberespacio y la necesidad de desplegar medidas profilácticas. El desarrollo de campañas de concienciación y la creación de recursos formativos y material didáctico gratuito son solamente algunas de las actuaciones del Instituto.
En segundo lugar, bajo dependencia orgánica del Centro Nacional de Inteligencia encontraríamos al Centro Criptológico Nacional (CCN), cuya misión principal consiste en garantizar la seguridad de la información clasificada y de los sistemas informáticos de las Administraciones Públicas, velando a su vez por la salvaguarda de las infraestructuras críticas consideradas de interés nacional.
Dicho de otra forma, el CCN opera a nivel gubernamental, enfocándose en la protección de datos sensibles y en el despliegue de sistemas y herramientas criptográficas que permitan mantener seguras las infraestructuras y comunicaciones consideradas críticas para la seguridad nacional.
Dado el carácter reservado de sus actuaciones, quizás el trabajo más fácilmente visible desde el exterior sea la labor que desempeña el Centro para asegurar un marco normativo de protección uniforme a todas las entidades públicas a través de la publicación de directrices y estándares de cumplimiento relacionadas con el Esquema Nacional de Seguridad (ENS).
Como tercer pilar encontraríamos al Mando Conjunto del Ciberespacio (MCCE), antes conocido como Mando Conjunto de Ciberdefensa. Un órgano al mando del Vicealmirante Francisco Javier Roca Rivero que tiene como competencias la dirección, coordinación, control y ejecución de las acciones de las Fuerzas Armadas en el ámbito cibernético (Ministerio de Defensa, 2020a; 2020b).
El MCCE, que pertenece obviamente al Ministerio de Defensa y depende directamente del Jefe de Estado Mayor de la Defensa (JEMAD), es el encargado de asegurar las redes y sistemas de comunicación militares, garantizando la seguridad de la información frente a amenazas cibernéticas.
Y, especialmente, de desplegar medidas de ciberinteligencia de cara a realizar ejercicios prospectivos ante actores capaces de comprometer la integridad y operatividad de nuestras FAS o, de dañar nuestra defensa nacional.
A pesar de centrarse en el entorno militar, las actuaciones del MCCE suelen trascender dicho ámbito, pues la Defensa exige una coordinación institucional constante con otros organismos, especialmente con el CCN.
Al margen de estos organismos –pero a su vez, vinculados a ellos—, el crecimiento exponencial de la ciberdelincuencia ha obligado a las Fuerzas y Cuerpos de Seguridad del Estado a crear distintas unidades especializadas en la lucha contra la delincuencia en la red, garantizando así la seguridad del ciudadano también en el ciberespacio.
En el caso de la Guardia Civil, además de los grupos especializados en Inteligencia que se conforman dentro de la Jefatura de Información, el Instituto Armado cuenta en la Jefatura de Policía Judicial con distintos especialistas: a nivel central, con el Grupo de Delitos Telemáticos (GDT) (perteneciente a la Unidad Central Operativa (UCO)); a nivel provincial, con los Equipos de Investigación Tecnológica (EDITE); y adjuntos a las distintas Comandancias, con los “Equipos @” que se han ido creando a fin de apoyar a los puestos de Seguridad Ciudadana ante la ingente cantidad de denuncias dimanantes del cibercrimen.
Por su parte, la Policía Nacional cuenta con una estructura similar, donde destaca la relevancia de la Unidad Central de Ciberdelincuencia (anteriormente conocida como Brigada de Investigación Tecnológica), encargada de la investigación de delitos relacionados con las nuevas tecnologías.
Presentando al Centro Nacional de Ciberseguridad: más incógnitas que hechos
Son varias las razones que alude el Gobierno para la creación del Centro Nacional de Ciberseguridad: el aumento exponencial en la cantidad y sofisticación de los ciberataques; la necesidad de mejorar la coordinación y supervisión en un ecosistema cibernético cada vez más complejo; la exigencia de contar con un organismo capaz de unificar los criterios y actuaciones estratégicas del conjunto de entes existentes a nivel nacional; o, simplemente, la obligatoriedad de alinear nuestros estándares frente a ciberamenazas siguiendo la Directiva NIS2.
Lo cierto es que, la citada directiva (Directiva (UE) 2022/2555) no exige específicamente la creación del CNC, lo que sí establece es una serie de obligaciones que requieren la existencia de un órgano o estructura nacional capaz de garantizar su cumplimiento.
Concretamente, (1) establece la necesidad de contar en cada uno de los Estados miembros con un punto de contacto único nacional para coordinar cuestiones de ciberseguridad a nivel europeo; (2) refuerza la necesidad de una gestión centralizada de la ciberseguridad en cada Estado (instando a la creación de mecanismos que mejoren la coordinación entre las distintas autoridades nacionales competentes y los sectores público y privado); (3) incluye la supervisión en materia de ciberseguridad en nuevos sectores como el sanitario, el transporte, la energía y las tecnologías digitales; (4) exige una mayor supervisión y control sobre las entidades afectadas, especialmente en lo que respecta a la implementación de medidas de ciberseguridad y la notificación de incidentes; (5) busca garantizar un estándar mínimo común de ciberseguridad en toda la Unión Europea y (6) establece sanciones más severas por los incumplimientos a la normativa que se produzcan (NIS2, 2022).
(Continúa…) Estimado lector, este artículo es exclusivo para usuarios de pago. Si desea acceder al texto completo, puede suscribirse a Revista Ejércitos aprovechando nuestra oferta para nuevos suscriptores a través del siguiente enlace.
IMPORTANTE: Las opiniones recogidas en los artículos pertenecen única y exclusivamente al autor y no son en modo alguna representativas de la posición de Ejércitos – Revista digital sobre Defensa, Armamento y Fuerzas Armadas, un medio que está abierto a todo tipo de sensibilidades y criterios, que nace para fomentar el debate sobre Defensa y que siempre está dispuesto a dar cabida a nuevos puntos de vista siempre que estén bien argumentados y cumplan con nuestros requisitos editoriales.
Be the first to comment