II CyberInsight del Club del CISO - 2025

Imagen promocional del evento II CyberInsight 2025 del Club CISO y Foro GRC, con temáticas clave como computación cuántica en ciberseguridad, la nueva guía CCN-STIC-802 del ENS y un taller sobre la Directiva CER. Aparecen los logotipos de la AEC, Telefónica Tech y Govertis como partners estratégicos.

II CyberInsight del Club del CISO – 2025

El pasado 10 de julio tuvo lugar el segundo CyberInsight del Club del CISO de 2025 organizado por la Asociación Española para la Calidad (AEC). El evento giró en torno al nuevo papel de la computación cuántica en la ciberseguridad, la visión de certificación con la nueva guía 802 del CCN-CERT y los desafíos técnicos y regulatorios de la directiva CER.

Computación Cuántica en ciberseguridad. ¿Por dónde empezar?

Jose Luís Domínguez, director de ventas de ciberseguridad y cloud de Telefónica Tech, presentó una interesante ponencia centrada en la relación entre la computación cuántica y la ciberseguridad destacando los nuevos riesgos, y también oportunidades, que conlleva esta tecnología emergente en cuanto al cifrado y encriptado de la información.

Realizó una exposición inicial de los diferentes escenarios de aplicación de la computación cuántica comentando cómo los ordenadores cuánticos, una vez plenamente desarrollados, podrían romper los sistemas criptográficos actuales (como RSA y ECC), que sustentan la seguridad de internet y cómo esta amenaza no es inmediata, pero sí estratégica, ya que los datos cifrados hoy podrían ser almacenados y descifrados en el futuro («store now, decrypt later») cuando esta tecnología esté suficientemente desarrollada.

Jose Luís explicó la iniciativa de Post Quantum Crypto (PQC) que hace un año se publicaron por primera vez los cuatro algoritmos finales disponibles para que las organizaciones comiencen a trabajar para abordar este desafío, ya que organizaciones como NIST vaticinan que algoritmos de clave asimétrica serán obsoletos en cinco años y en diez, cualquiera algoritmo que no se PQC.

La soberanía de tecnológica, operativa y de los datos e IA garantizan la resiliencia e independencia tecnológica de España y Telefónica está colaborando en el desarrollo de una red encriptada soberana de telecomunicaciones para nuestro país que garantice la seguridad en comunicaciones PQC, es decir resistente a la computación cuántica.

Telefónica introduce su iniciativa Quantum Safe, que busca preparar las infraestructuras digitales para resistir ataques cuánticos y que define los tres grandes dominios para abordar la transformación post-cuántica y alineada con los tres pilares NIST de identificación, protección y gobierno:

La estrategia de transformación segura cuántica – Identificación:
- Desarrollar un inventario criptográfico para conocer el estado actual de los elementos criptográficos de los que se dispone en la organización.
- Evaluar y priorizar los riesgos asociados.
- Desarrollar un plan de transformación de esos elementos.
La actualización criptográfica de los servicios – Protección:
- Implantación gradual y segura de la criptografía post-cuántica.
- Cripto-agilidad para adaptarse al futuro.
Modernización de las infraestructuras criptográficas – Gobierno:
- Actualización de las plataformas.
- Mejora continua en la eficacia de los algoritmos adoptados.

Se comentaron varios casos de uso sobre la plataforma desarrollada por Telefónica Quantum Safe Hub en los escenarios de infraestructura de comunicaciones, confidential computing, aplicaciones de alta seguridad, entornos OT y la gestión de claves criptográficas.

Finalmente puso de relieve que la computación cuántica no es solo una innovación tecnológica, sino también un cambio de paradigma en la seguridad digital, y que prepararse desde ahora es clave para garantizar la resiliencia futura.

Nueva guía CCN-STIC-802 Auditoría en el ENS. Visión de certificación.

A continuación, José Vicente Zaragozá, Director técnico de Kiwa-IVAC, nos habló de la nueva guía de auditorías de cumplimiento del Esquema Nacional de Seguridad CCN-STIC 802 publicada el pasado mes de junio por el CCN-CERT tras más una década desde su primera edición.

La nueva guía regularizar las prácticas que ya se estaban llevando a cabo el base al Real Decreto 311/2022 del 3 de mayo, destacando que no se va a notar por tanto para las empresas gran diferencia entre lo auditado el año pasado para la adaptación al decreto de 2022 con lo que se audite el año que viene o el próximo.

Comentó a continuación la armonización con la guía CCN-STIC IC-01/19 de criterios generales de auditoría y la CCN-STIC 809 de declaración, certificación y aprobación de conformidad, destacando la prevalencia de la IC-01/19 ante cualquier conflicto de interpretación o contradicción.

Destacó que la guía CCN-STIC 802 recomienda el uso de la guía CCN-STIC 808 para la realización de auditoría tanto interna de verificación como externa de certificación de conformidad y que estable tres posibles actores para ello:

la Entidad Certificadora del sector privado acreditada por ENAC y exclusivo para el sector privado,
el Órgano de Auditoría Técnica del sector público reconocido por el CCN y exclusivo para este sector,
el propio CCN de manera excepcional.

Continuó destacando que, en la nueva guía, se establece la obligatoriedad de realizar auditorías internas para los niveles alto y medio del ENS y que son recomendables para el nivel básico.

Así mismo la nueva guía CCN-STIC 802 define claramente las auditorías de carácter extraordinario que son posibles sólo si no han pasado más seis meses desde la certificación previa y aplicables en estos tres supuestos:

modificación sustancial en los sistemas de información,
incremento en la categoría de un sistema ya certificado,
incremento en el alcance con nuevos servicios.

Destacó el caso particular de las auditorías internas para empresas pequeñas con poco presupuesto, donde la nueva guía permite que sean realizadas por el propio personal de la empresa.

Igualmente comentó el nuevo requerimiento respecto a la experiencia para los auditores jefe que establece la guía CCN-STIC 802, referente a acumular una experiencia mínima en auditoría o inspecciones de TI de 20 jornadas en los últimos cuatro años y de los cuales al menos 10 han de haber sido en el último año.

Pasó a destacar aspectos específicos en el alcance, como son que los proveedores de servicios externalizados deben estar certificados en, al menos, el mismo nivel del ENS que el cliente, que existen certificados de grupo de empresas. Con respecto a la existencia de varios CPDs y sedes, se haría un muestreo según un método definido en la guía para el número de ellos a auditar y lógicamente, con servicios similares.

Con respecto a los tiempos de auditorías combinadas ISO 27001 y ENS, José Vicente destacó que la guía CCN-STIC 802, contempla que los tiempos puedan ser reducidos hasta en un 35% con un número mínimo de jornadas predefinidas por el ENS.

Por último, comentó las posibles alternativas en el dictamen final de una auditoría, siendo estas:

Favorable, cuando no hay desviaciones y no existen no-conformidades menores ni mayores.
Favorable con no-conformidades, ya sean mayores y/o menores en cuyo caso la empresa a certificar debe presentar en un Plan de Acciones Correctivas (PAC) en el plazo máximo de un mes para su evaluación.
Desfavorable, cuando existe un número significativo de no-conformidades de ambos tipos que hagan considerar al auditor que es necesaria una auditoría de comprobación in-situ en menos de seis meses.

Directiva CER: Desafíos Técnicos y Regulatorios.

Belén Pérez, Consultora Senior GRC en Govertis, part of Telefónica Tech, fue la encargada de cerrar la jornada con el taller práctico Directiva CER: Desafíos Técnicos y Regulatorios.

Con una intervención didáctica y muy cercana, Belén ofreció una visión integral sobre la Directiva (UE) 2022/2557 (conocida como Directiva CER) que marcará un antes y un después en la gestión de riesgos y resiliencia en sectores estratégicos. A lo largo del taller, expuso el contexto normativo, explicó las principales novedades del marco legislativo nacional en proceso de transposición y analizó con claridad los retos que deberán afrontar las organizaciones afectadas.

La ponente contextualizó el nacimiento de esta normativa en el marco de los atentados de principios de los 2000 (Nueva York, Madrid, Londres), que motivaron a la Unión Europea a reforzar la protección de infraestructuras críticas. La anterior Directiva ECI de 2008 (y su transposición en España mediante la conocida LPIC) se centró principalmente en la seguridad física, con especial atención a los sectores de energía y transporte.

España, sin embargo, fue más allá y amplió el foco a 12 sectores estratégicos.

La principal aportación de la Directiva CER es el cambio de paradigma: ya no basta con proteger, ahora es necesario garantizar la resiliencia. Es decir, no solo prevenir incidentes, sino estar preparados para responder de forma eficaz cuando estos ocurran.

La directiva, publicada en diciembre de 2022 junto con la Directiva NIS2, establece obligaciones claras para los Estados miembros, que deben transponerla a su ordenamiento jurídico antes de octubre de 2024. Sin embargo, España ha superado ya ese plazo. El anteproyecto de ley fue aprobado en Consejo de Ministros el pasado mes de mayo y, tras cerrarse la fase de audiencia pública, está pendiente de tramitación parlamentaria.

Novedades del anteproyecto: Ley de Protección y Resiliencia de Entidades Críticas

Belén desgranó las principales novedades del texto legislativo actualmente en borrador:

Cambio de nombre: los actuales «operadores críticos» pasarán a denominarse entidades críticas.
Creación del CNPREC: nuevo Centro Nacional para la Protección y Resiliencia de Entidades Críticas, que sustituirá al actual CNPIC.
Ampliación de sectores afectados: incluyendo algunos no contemplados por la directiva europea, como por ejemplo, seguros, gestión de residuos o seguridad privada.

Elaboración de nuevos planes clave, como:
- Un Plan Nacional de Amenazas y Riesgos (PNAR), que definirá los escenarios de amenaza mínimos a considerar, incluyendo riesgos eléctricos, inundaciones y sustancias peligrosas.
- Planes estratégicos sectoriales, adaptados por cada sector a partir del PNAR.
- Un Plan de Resiliencia de la Entidad Crítica, que sustituye al antiguo plan del operador, con un enfoque integral de continuidad de servicios esenciales.
- Y un Plan de Apoyo Operativo, que deberá coordinarse con las Fuerzas y Cuerpos de Seguridad del Estado.
Designación de responsables de seguridad y resiliencia: con acreditación obligatoria del Ministerio del Interior.
Evaluaciones de riesgo obligatorias cada cuatro años, que deberán tener en cuenta no sólo amenazas físicas, sino también cibernéticas.
Notificación de incidentes en un plazo máximo de 24 horas.
Certificación obligatoria bajo un futuro esquema nacional aún por definir.

Una de las cuestiones más relevantes es el nuevo régimen sancionador, que contempla multas de hasta 10 millones de euros o el 2 % de la facturación anual, así como la posible suspensión de licencias y responsabilidades directas para los órganos de dirección.

«Esto ya no es solo cosa del ente jurídico. La ley también responsabiliza a los cargos de administración y dirección», advirtió.

Retos inmediatos para las organizaciones

Durante su intervención, Belén no evitó señalar los múltiples desafíos que plantea este nuevo marco normativo. Desde la adecuación tecnológica y organizativa, hasta la gestión de recursos, pasando por el esfuerzo necesario para cumplir con los nuevos requisitos de certificación y supervisión.

También alertó sobre la creciente duplicidad normativa, un fenómeno que ya afecta a muchas entidades sometidas simultáneamente a directivas como NIS2, DORA, RGPD o ahora CER: «A una misma entidad le puede aplicar la NIS2, la CER, DORA… y todas tienen sistemas diferentes de notificación. No tenemos aún una ventana única».

La sesión concluyó con una reflexión sobre el futuro inmediato. Aunque el texto legal aún no está aprobado, las entidades que ya eran operadores críticos deben prepararse para adaptarse a las nuevas exigencias, y aquellas que previsiblemente serán designadas deben comenzar a trabajar desde ya.

Gabriel Aracil Pizarro y David Bascoy Liñares

Govertis, parte de Telefónica Tech

Por Blog AEC Govertis

22 de julio de 2025

Cookie	Duración	Descripción
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie records the user consent for the cookies in the "Advertisement" category.
cookielawinfo-checkbox-analytics	1 year	Set by the GDPR Cookie Consent plugin, this cookie records the user consent for the cookies in the "Analytics" category.
cookielawinfo-checkbox-functional	1 year	The GDPR Cookie Consent plugin sets the cookie to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-non-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Non Necessary".
CookieLawInfoConsent	1 year	CookieYes sets this cookie to record the default button state of the corresponding category and the status of CCPA. It works only in coordination with the primary cookie.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.
wpEmojiSettingsSupports	session	WordPress sets this cookie when a user interacts with emojis on a WordPress site. It helps determine if the user's browser can display emojis properly.

Cookie	Duración	Descripción
PREF	8 months	PREF cookie is set by Youtube to store user preferences like language, format of search results and other customizations for YouTube Videos embedded in different sites.
VISITOR_INFO1_LIVE	6 months	YouTube sets this cookie to measure bandwidth, determining whether the user gets the new or old player interface.
VISITOR_PRIVACY_METADATA	6 months	YouTube sets this cookie to store the user's cookie consent state for the current domain.
YSC	session	Youtube sets this cookie to track the views of embedded videos on Youtube pages.
yt.innertube::nextId	never	YouTube sets this cookie to register a unique ID to store data on what videos from YouTube the user has seen.
yt.innertube::requests	never	YouTube sets this cookie to register a unique ID to store data on what videos from YouTube the user has seen.

Cookie	Duración	Descripción
_ga	1 year 1 month 4 days	Google Analytics sets this cookie to calculate visitor, session and campaign data and track site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognise unique visitors.
_ga_*	1 year 1 month 4 days	Google Analytics sets this cookie to store and count page views.

Cookie	Duración	Descripción
yt-player-headers-readable	never	The yt-player-headers-readable cookie is used by YouTube to store user preferences related to video playback and interface, enhancing the user's viewing experience.
yt-remote-cast-available	session	The yt-remote-cast-available cookie is used to store the user's preferences regarding whether casting is available on their YouTube video player.
yt-remote-cast-installed	session	The yt-remote-cast-installed cookie is used to store the user's video player preferences using embedded YouTube video.
yt-remote-connected-devices	never	YouTube sets this cookie to store the user's video preferences using embedded YouTube videos.
yt-remote-device-id	never	YouTube sets this cookie to store the user's video preferences using embedded YouTube videos.
yt-remote-fast-check-period	session	The yt-remote-fast-check-period cookie is used by YouTube to store the user's video player preferences for embedded YouTube videos.
yt-remote-session-app	session	The yt-remote-session-app cookie is used by YouTube to store user preferences and information about the interface of the embedded YouTube video player.
yt-remote-session-name	session	The yt-remote-session-name cookie is used by YouTube to store the user's video player preferences using embedded YouTube video.
ytidb::LAST_RESULT_ENTRY_KEY	never	The cookie ytidb::LAST_RESULT_ENTRY_KEY is used by YouTube to store the last search result entry that was clicked by the user. This information is used to improve the user experience by providing more relevant search results in the future.

menú

Club CISO