Como se describe en el artículo 10 de la Ley de Ciberseguridad (1), ENISA tiene la misión de centrar sus esfuerzos en la promoción de la ciberseguridad en todos los niveles de la educación en los Estados miembros de la UE (EM). En este contexto, ENISA tiene el mandato de apoyar una coordinación más estrecha y el intercambio de mejores prácticas entre los EM en materia de concienciación y educación sobre ciberseguridad, una tarea que también se ha incluido en la Hoja de ruta de ENISA sobre educación en ciberseguridad. Por un lado, este estudio de ENISA tiene como objetivo diseñar y desarrollar un modelo de evaluación de la madurez para evaluar el nivel de madurez de cada EM en relación con la educación en ciberseguridad en los niveles primario y secundario y obtener un estado de situación global de la UE. Por otro lado, además de la puntuación cuantitativa que refleja los niveles de madurez nacionales, el objetivo de ENISA era recopilar y difundir recomendaciones y buenas prácticas entre los países. Los resultados cuantitativos obtenidos a partir de los datos de educación primaria y secundaria recogidos en 15 y 27 EM respectivamente muestran que, por término medio, una serie de EM de la UE tienen un nivel de madurez del 66 %, lo que corresponde al nivel 4 de 5 («Establecimiento»). Esto significa que los EM ya cuentan con una serie de iniciativas en materia de educación sobre ciberseguridad. Sin embargo, los enfoques nacionales varían mucho de un país a otro y en su mayoría se basan en iniciativas descentralizadas o se encuentran en una fase incipiente de aplicación. Más concretamente, ENISA evaluó los niveles de madurez en función de tres dimensiones: «Gubernamental» (70 %), «Estratégica» (64 %) y «Operativa» (63 %). Una de las principales conclusiones es que, aunque las iniciativas de educación en ciberseguridad suelen estar respaldadas por un marco normativo nacional, dependen en gran medida de las estrategias nacionales de ciberseguridad. De hecho, estas herramientas suelen proporcionar a las partes interesadas europeas directrices y apoyo para incluir el tema de la ciberseguridad en los planes de estudio escolares; esto fomenta significativamente la adopción de la ciberseguridad en los niveles de educación primaria y secundaria. La participación de entidades gubernamentales y la cooperación con agentes del sector privado se identificaron como un pilar importante para fomentar la ciberseguridad en la educación. Por último, en este estudio ENISA enumera las mejores prácticas y recomendaciones dirigidas a los EM por nivel de madurez, disponibles para cada dimensión del modelo de evaluación de la madurez, junto con ejemplos concretos de iniciativas nacionales y puntos de contacto de organizaciones nacionales. Junto con el aumento del uso de la tecnología en las últimas décadas, el campo de la ciberseguridad ha recibido más atención debido a la mayor exposición de los ciudadanos a las formas en que pueden ser objeto de robo y daño de datos. El papel de los expertos en ciberseguridad en la protección de información e infraestructuras críticas, aunque relevante, sigue siendo insuficiente para cubrir a todos los usuarios de Internet debido a la escasez de profesionales en el mercado. La solución, que pasa por aumentar el nivel de conocimientos de ciberseguridad de los ciudadanos, requiere llegar a los internautas de todos los grupos de edad, incluida la nueva generación. 

A menudo se considera que los escolares se inician pronto en las tecnologías digitales (también llamados «nativos digitales») y son un grupo crítico al que hay que dirigirse para garantizar que la próxima generación esté bien equipada con las habilidades necesarias para utilizar con seguridad el espacio en línea. De conformidad con el artículo 10 de la Ley de Ciberseguridad, la ENISA tiene el mandato de apoyar una coordinación más estrecha y el intercambio de mejores prácticas entre los Estados miembros en materia de sensibilización y educación en ciberseguridad, como se muestra en la Hoja de ruta sobre educación en ciberseguridad y se demuestra a través de iniciativas como el Mes Europeo de la Ciberseguridad, el Desafío Europeo de Ciberseguridad, el Marco Europeo de Competencias en Ciberseguridad y la Base de Datos de Educación Superior en Ciberseguridad, conocida como CYBERHEAD. A nivel de los Estados miembros, la introducción del tema de la ciberseguridad en los planes de estudios y las actividades escolares por sí sola puede contribuir a que los jóvenes usuarios estén más expuestos y sean más conscientes del ámbito y los requisitos de la ciberseguridad, lo que podría llevarles a elegir este ámbito profesionalmente y contribuir a resolver la escasez de expertos en ciberseguridad en el mercado laboral. No obstante, sigue habiendo variaciones entre los Estados miembros en cuanto a la madurez de la educación en ciberseguridad. En consecuencia, una de las principales prioridades identificadas por ENISA en su Hoja de Ruta Europea de Ciberseguridad era la necesidad de identificar el nivel de madurez de cada EM y obtener un estado de situación de la UE, junto con favorecer los intercambios de buenas prácticas y proporcionar recomendaciones sobre diferentes dimensiones de la educación en ciberseguridad cubiertas en el informe. Esta sección presenta los principales resultados de la evaluación de la madurez llevada a cabo como parte de este estudio en el ámbito de la ciberseguridad en la educación primaria y secundaria». Este informe pretende ofrecer una evaluación más detallada de la dimensión gubernamental del modelo de madurez que rige la implantación de la educación en ciberseguridad. Se basa en la información recopilada a través de la investigación documental detallada sobre los 27 Estados miembros y la información detallada recopilada a través de las 14 entrevistas y las 3 respuestas recibidas de la encuesta en línea. El contacto con los representantes de los Estados miembros permitió a la ENISA identificar buenas prácticas que complementaron los resultados de la investigación documental. 

La dimensión gubernamental abarca todas las acciones y aspectos tomados a nivel político en relación con la educación en ciberseguridad en la educación primaria y secundaria, incluidas las normativas y políticas que definen el marco normativo (planificadas o implementadas). Para medir el nivel de madurez de los EM en el ámbito de la educación en ciberseguridad, era esencial analizar su madurez política en esta área. La dimensión gubernamental se evalúa a través de tres subdimensiones principales relativas a las iniciativas gubernamentales a nivel nacional. Como se presenta en el marco teórico, estas tres subdimensiones son Marco normativo, Política y Apoyo. La mayoría de los países indicaron que habían aplicado o tenían previsto aplicar una política de apoyo a la adopción de medidas educativas en materia de ciberseguridad a nivel nacional, lo que se traduce en un nivel de madurez del 78 %. Sin embargo, los EM tienden a estar menos avanzados cuando se trata de disponer de un marco normativo completo para dar forma a la política, como muestra el nivel de madurez medio del 64 %. Por último, los países muestran un nivel de madurez medio (56 %) en relación con el apoyo a la educación y/o a las partes interesadas y organizaciones de ciberseguridad a través de programas nacionales. De hecho, menos de la mitad de los países declaran disponer de programas que incluyen actividades financiadas total o parcialmente por los presupuestos nacionales. En la mayoría de los países, los marcos reguladores tienden a dirigirse a los responsables políticos. Sin embargo, también se observó que los marcos reguladores pueden estar dirigidos a organizaciones privadas. Otros dos países están definiendo un marco regulador («fase de establecimiento») para apoyar el desarrollo de un programa educativo plurianual aplicable a escala nacional. Los dos países restantes, con una puntuación de madurez del 33 %, tienden a tener una orientación más «estratégica» y dedican menos recursos a la labor normativa. El 33 % significa que estos países se encuentran en la fase de desarrollo de estas iniciativas políticas o sólo actúan políticamente de forma puntual. En cuanto a los cuatro países con una puntuación de madurez del 0 %, no tienen ninguna iniciativa política. Los resultados de la investigación documental muestran que los 27 EM se basan en la ciberseguridad nacional para definir las acciones relativas a la educación en ciberseguridad. Aunque el énfasis varía mucho de una estrategia nacional a otra, estas estrategias se centran en acciones concretas y en una definición de gobernanza basada en las estrategias nacionales de ciberseguridad. La idea que subyace a la definición de un marco normativo para los EM es definir metas, alcance y objetivos comunes para los ministerios de educación, los ministerios responsables de las cuestiones digitales y de ciberseguridad, las entidades gubernamentales y las partes interesadas públicas y privadas implicadas en la educación en ciberseguridad. 

Sin embargo, los representantes de los EM señalaron a menudo que la educación y la ciberseguridad se consideran generalmente dos temas diferentes, que se tratan y apoyan por separado. También se observó que los países con una estructura federal o regional gestionan la educación de forma relativamente heterogénea. En consecuencia, el desarrollo y la aplicación de un marco normativo nacional único sobre educación en ciberseguridad se considera una tarea compleja e inadecuada, debido a la diversidad de partes interesadas y organizaciones implicadas y, en ocasiones, a las barreras lingüísticas. Por último, la inclusión obligatoria de la educación en ciberseguridad en los programas escolares se considera una forma eficaz de garantizar la adopción de estas medidas en las escuelas. Sin embargo, cuestiones geográficas y demográficas similares a las mencionadas anteriormente se aplican cuando se trata de desarrollar un programa único para un país. Actualmente, 4 de los 27 EM no se plantean la implantación de un plan de estudios de ciberseguridad. Todos los EM consultados declararon haber transpuesto la Directiva SRI promulgada en 2016. Además de la transposición legal, de los 6 países que dijeron haber elaborado políticas nacionales, 3 señalaron que las políticas tendían a dirigirse a las universidades en lugar de a los niveles primario y secundario o no proporcionaban ningún detalle. Por último, de los dos países con un nivel de madurez del 50 %, uno indicó que actuaba como una organización nacional disponible para compartir asesoramiento y apoyar la adopción de la educación en ciberseguridad; sin embargo, la cobertura nacional de una política se ve comprometida debido a la estructura de gobierno regional de la nación. Sólo un país de los 13 indicó que no había ninguna política nacional en vigor o prevista. Como se observó en todos los EM, las estrategias nacionales de ciberseguridad (ENCS) son las herramientas más utilizadas para apoyar la implementación de iniciativas de educación en ciberseguridad a nivel nacional (tanto para la educación primaria como para la secundaria, o sólo para la secundaria). En la mayoría de los países, los elementos relativos a la educación en ciberseguridad se tienen plenamente en cuenta en sus ECSN (7 países muestran un nivel «Optimizado/adaptado»; 100 %). En algunos de estos países, las estrategias nacionales indican que los temas y aspectos relacionados con la ciberseguridad deben tratarse en los centros de enseñanza primaria y secundaria, y eventualmente integrarse en los planes de estudios nacionales oficiales. En otros 4 países, la educación en ciberseguridad se menciona brevemente en las ENCS (mostrando un nivel de «Establecimiento»; 66 %). De los 13 países de la muestra, sólo 1 no considera la educación en ciberseguridad como parte de su estrategia nacional de ciberseguridad. Alternativa o adicionalmente, los EM pueden optar por comunicar la educación en ciberseguridad en su política educativa nacional (o en un instrumento legal equivalente utilizado a nivel nacional para enmarcar los aspectos educativos en el país).

El informe de ENISA se centra en evaluar la madurez de la educación en ciberseguridad en los Estados Miembros (EM) de la Unión Europea. La misión de ENISA, según el Artículo 10 de la Ley de Ciberseguridad, es promover la ciberseguridad a todos los niveles educativos dentro de la UE. Este estudio tiene como objetivo diseñar y desarrollar un modelo de evaluación de madurez para valorar el nivel de cada EM en cuanto a la educación en ciberseguridad en los niveles primario y secundario, obteniendo una visión integral del estado actual en la UE. Los resultados muestran que, en promedio, los EM tienen un nivel de madurez del 66%, lo que corresponde al nivel 4 de 5 (‘Establecimiento’), indicando que ya existen diversas iniciativas de educación en ciberseguridad aunque con enfoques nacionales muy variados y dependientes de iniciativas descentralizadas . La evaluación de madurez se realiza en tres dimensiones: gubernamental, estratégica y operativa. Estas dimensiones se valoran utilizando una serie de indicadores para asignar un nivel de madurez a cada EM en el campo de la educación en ciberseguridad. Este modelo permite comprender mejor los avances y desafíos en la UE. Se revela que la implementación de currículos y las iniciativas avanzan a un ritmo moderado debido a la diversidad de actores involucrados en la operacionalización del sector educativo desde los niveles más altos hasta los más bajos . El estudio subraya que, aunque se han dado pasos significativos en la integración de la ciberseguridad en los currículos nacionales, la implementación avanza a un ritmo moderado debido a la complejidad de coordinar a los diversos actores involucrados. No obstante, los EM han mostrado un alto nivel de compromiso voluntario en iniciativas dirigidas a estudiantes de primaria y secundaria, lo que representa una oportunidad para introducir el tema de la ciberseguridad y desarrollar contenido académico para apoyar su integración .  

Para leer más ingrese a: