El documento aborda de forma profunda las mejores prácticas para la gestión de crisis cibernéticas a nivel operativo en la Unión Europea (UE), ofreciendo una panorámica detallada que abarca desde la definición de conceptos clave como «crisis cibernética» y «gestión de crisis cibernética», hasta la descripción minuciosa de la estructura y roles desempeñados por diversos actores involucrados en la gestión de estas crisis a nivel de la UE. Entre estos actores se encuentran ENISA, los Estados miembros de la UE y la red EU-CyCLONe. Una de las contribuciones más significativas del texto es su análisis de la gestión de crisis cibernéticas a través de cuatro fases distintas: prevención, preparación, respuesta y recuperación. Dentro de cada una de estas fases, se identifican y destacan las mejores prácticas implementadas por algunos Estados miembros, como la adopción de una definición nacional de crisis cibernética, el desarrollo de estándares de seguridad de la información para el sector público y la promoción de iniciativas destinadas a programas de prevención de amenazas cibernéticas. Además de proporcionar una visión global de las mejores prácticas, el texto profundiza en las estrategias específicas para fortalecer la coordinación y capacidad de respuesta frente a crisis cibernéticas en la UE, mediante la presentación de 15 prácticas clave distribuidas en las fases de prevención, detección, respuesta y recuperación de una crisis. Asimismo, se ofrecen 5 recomendaciones concretas para potenciar estas capacidades a través de EU-CyCLONe, la organización encargada de coordinar estas acciones a nivel comunitario. Estas recomendaciones incluyen la coordinación de sesiones de trabajo para definir mecanismos comunes de crisis cibernética, el desarrollo de ejercicios de simulación para probar procedimientos y cooperación, el apoyo a plataformas de comunicación seguras para el intercambio de información durante crisis, la actualización regular de mapas de infraestructura crítica y la organización de entrenamiento en medios para portavoces de crisis cibernéticas. Con estas medidas, se busca fomentar una colaboración más estrecha y eficiente entre los actores relevantes a nivel europeo, con el objetivo final de prevenir, gestionar y recuperarse de manera efectiva ante los desafíos planteados por incidentes y crisis cibernéticas a gran escala.

La gestión de crisis cibernéticas implica la colaboración de una amplia gama de actores tanto del ámbito público como privado, provenientes de los sectores civil, policial y de defensa. Su objetivo es responder de manera efectiva y mitigar los impactos de los incidentes cibernéticos que alcanzan un nivel crítico. Estos incidentes pueden surgir como resultado de ataques cibernéticos o incluir un componente cibernético significativo que afecta la estabilidad y operatividad de los servicios esenciales. En el contexto de la Unión Europea (UE), una crisis cibernética se define bajo la directiva NIS2 como un incidente que interrumpe gravemente los servicios esenciales en un Estado miembro o tiene repercusiones en varios Estados miembros. Dichos servicios esenciales abarcan sectores vitales como energía, transporte, banca, salud, suministro de agua, gestión de aguas residuales, infraestructura digital y administración pública. Del mismo modo, la gestión de crisis cibernéticas opera en múltiples niveles, desde el ámbito organizacional hasta el internacional. En el contexto de la UE, diferentes instituciones y agencias asumen roles específicos en la gestión de crisis según la naturaleza y alcance de los incidentes. El objetivo fundamental es mejorar la cooperación entre los Estados miembros en áreas clave como la prevención, gestión y respuesta ante crisis cibernéticas. Aunque la seguridad cibernética y la gestión de crisis son principalmente responsabilidades nacionales, la UE desempeña un papel coordinador para fortalecer la resiliencia y proporcionar apoyo a los Estados miembros en momentos de crisis. Además, se promueve la cooperación internacional, puesto que las crisis cibernéticas pueden tener efectos transfronterizos y afectar a países fuera de la UE. En última instancia, una coordinación efectiva de todos los actores relevantes es esencial para gestionar de manera eficaz las crisis cibernéticas y mitigar sus impactos adversos en la seguridad y estabilidad de los servicios esenciales.

La implementación de las mejores prácticas para la gestión de crisis cibernéticas es fundamental para garantizar una respuesta efectiva ante incidentes de seguridad digital. Entre estas prácticas se destacan tres enfoques clave. En primer lugar, se propone la adopción de una definición nacional de ‘crisis cibernética’ que reconozca su naturaleza transfronteriza. Esta definición podría incluir indicadores específicos de una crisis y los procesos de toma de decisiones asociados, lo que facilitaría la coordinación entre diferentes países. En segundo lugar, se sugiere el desarrollo de estándares de seguridad de la información específicamente diseñados para el sector público nacional, los cuales deberían ser revisados y actualizados regularmente. Esto contribuiría a aumentar la resiliencia y a reducir el riesgo de crisis cibernéticas. En tercer lugar, se destaca la importancia de fomentar iniciativas nacionales que promuevan programas de prevención, como los programas centralizados de mitigación de ataques de denegación de servicio distribuido (DDoS). Ejemplos de tales iniciativas se encuentran en países como Polonia, Bélgica y los Países Bajos, donde se llevan a cabo investigaciones sobre vulnerabilidades, se advierte sobre amenazas e incidentes, y se mejora la resistencia contra ataques DDoS a través de la cooperación entre el sector público y privado. Adicionalmente, se abordan diversas prácticas recomendadas para la preparación y gestión de crisis cibernéticas, junto con ejemplos concretos de países como Italia, Francia y los Países Bajos. Una de estas prácticas consiste en definir una estructura de gobernanza para la gestión de crisis y nombrar a un coordinador de crisis, como exige la directiva NIS2, garantizando que este tenga habilidades cibernéticas operativas y técnicas. Otro aspecto relevante es el mapeo y recopilación de información sobre las entidades críticas y sus activos más importantes, lo que facilitaría la acción rápida en situaciones de crisis. Por ejemplo, en Francia, se requiere que los operadores críticos proporcionen mapas de sus sistemas de información a la agencia nacional de ciberseguridad. Asimismo, se discute la importancia de establecer canales de comunicación seguros para compartir información sensible durante las crisis, como el sistema de mensajería instantánea Wire utilizado en Alemania. Por otro lado, se aboga por formalizar roles y responsabilidades claras entre las partes interesadas en un plan general de respuesta a emergencias cibernéticas, utilizando el plan nacional de crisis cibernéticas de Bélgica como ejemplo. En términos de desarrollo futuro, se plantea la necesidad de establecer un marco común para la gestión de crisis cibernéticas en todos los Estados miembros de la UE. Esto implicaría la adopción de planes nacionales de respuesta a crisis cibernéticas, como exige la directiva NIS2, así como el desarrollo de criterios de escalada para determinar cuándo activar el plan de crisis y qué autoridades deben participar en función de la gravedad del ataque. La metodología de evaluación de riesgos y las herramientas desarrolladas a través de proyectos como la Plataforma Nacional de Ciberseguridad en Polonia podrían optimizar la coordinación y la interoperabilidad durante una crisis. En definitiva, la implementación de estas mejores prácticas y el desarrollo de un marco común para la gestión de crisis cibernéticas podrían contribuir significativamente a fortalecer la resiliencia de la UE frente a las amenazas digitales.

El documento, a su vez, explora las mejores prácticas para la gestión de crisis cibernéticas según el Marco de Gestión de Riesgos de la UE, destacando ejemplos de países que han implementado diversas prácticas y recomendaciones. Se enfoca en la organización de ejercicios conjuntos de ciberseguridad y crisis, como los realizados anualmente por Finlandia para coordinar la respuesta entre los participantes. Además, ENISA organiza ejercicios semestrales y anuales a nivel de la UE para probar los planes de respuesta a crisis. Se subraya la importancia de que estos ejercicios formen parte de un programa a largo plazo para mejorar continuamente las capacidades de los interesados, y se recomienda diversificar los tipos de ejercicios y ampliar los escenarios para involucrar a más actores y sectores críticos. También se mencionan sesiones de formación para el personal de gestión de crisis actuales y futuros, como el curso ofrecido por Portugal sobre ciberseguridad y gestión de crisis, que incluye un módulo de toma de decisiones estratégicas. Por último, se destaca la necesidad de que las autoridades nacionales de ciberseguridad apoyen la comunicación de crisis de las víctimas, proporcionando un mensaje unificado para evitar la incertidumbre y proteger la reputación de la víctima. Otro punto relevante es la discusión sobre las mejores prácticas para la fase de respuesta de la gestión de crisis cibernéticas. Se sugiere fomentar la certificación de proveedores privados de servicios de seguridad para proporcionar asistencia técnica a las víctimas de incidentes cibernéticos. Tener proveedores certificados confiables podría aliviar a las autoridades nacionales y permitir que las víctimas reciban asistencia directa. Adicionalmente, se plantea la importancia de que las autoridades nacionales ayuden a garantizar que los operadores de infraestructuras críticas tengan acuerdos con proveedores certificados de antemano. También se aborda cómo las autoridades nacionales de ciberseguridad pueden respaldar la comunicación de crisis de las víctimas, proporcionando un mensaje unificado para evitar la incertidumbre y proteger la reputación de la víctima. En resumen, estas prácticas buscan fortalecer la capacidad de respuesta y recuperación de los países frente a las amenazas cibernéticas mediante la preparación, la coordinación y la comunicación efectiva en caso de crisis.

Se proporciona la discusión sobre recomendaciones para mejorar la coordinación y el intercambio de información en la gestión de crisis cibernéticas entre los estados miembros (EM) de la UE. Se sugiere organizar ejercicios de crisis cibernética basados en los resultados de ejercicios anteriores para probar las habilidades de coordinación. Asimismo, se recomienda que los EM establezcan plataformas de comunicación seguras para el intercambio informal de información durante las crisis y desarrollen la confianza entre los miembros. Se propone que las autoridades nacionales de ciberseguridad de los EM actualicen regularmente los mapas de los sistemas de información crítica de las entidades esenciales y fomenten que estas proporcionen actualizaciones. Además, se sugiere apoyar la capacitación en medios de los ejecutivos de crisis cibernéticas de los EM para brindar actualizaciones claras sobre las crisis. Finalmente, se destaca que los procedimientos seguirán evolucionando y que ENISA debería identificar regularmente las mejores prácticas basadas en las experiencias de los EM en la implementación de la directiva NIS2. De otro lado, el texto resume investigaciones y documentos oficiales relacionados con las prácticas de gestión de crisis cibernéticas en países europeos. Discute las estrategias de ciberseguridad y los planes de crisis de países como Bélgica, Alemania, Estonia, España, Francia, Italia, Lituania, Países Bajos, Polonia, Portugal y Finlandia. También resume documentos oficiales sobre temas como conceptualización de crisis cibernéticas, comprensión de incidentes cibernéticos a gran escala, enfoques nacionales de gestión de crisis cibernéticas en Europa, crisis transfronterizas, crisis insidiosas y el desempeño de la UE en la gestión de crisis respecto a la COVID-19. Los documentos oficiales cubiertos incluyen documentos de referencia, taxonomías, opiniones, directrices, evaluaciones y resoluciones sobre ciberseguridad, respuesta a incidentes, planificación de ejercicios y comunicación de organizaciones como la Comisión Europea, el Comité Económico y Social Europeo, equipos CERT nacionales y agencias de ciberseguridad. Finalmente, el texto proporciona una visión general de varios recursos y mejores prácticas para la gestión de crisis cibernéticas. Resume la base de conocimientos de ENISA para cada fase de la gestión de crisis: prevención, respuesta y recuperación. Para la prevención, describe guías de ENISA sobre evaluaciones de riesgos, cooperación en crisis cibernéticas, aplicabilidad de la gestión de crisis a crisis cibernéticas, lecciones de ejercicios cibernéticos y herramientas para la gestión de riesgos interoperables. Para la respuesta, enumera informes de ENISA sobre desarrollo de respuesta a incidentes, acciones de apoyo de ciberseguridad y EU-CyCLONe para coordinación. Para la recuperación, destaca la información de ENISA sobre planes de restablecimiento empresarial y acciones de apoyo de ciberseguridad. El texto también analiza varios enfoques y lecciones de países y organizaciones para la preparación de crisis cibernéticas, la gestión de ataques de ransomware y la coordinación de respuestas a incidentes importantes.

Para leer más ingrese a:

https://www.enisa.europa.eu/publications/best-practices-for-cyber-crisis-management