NOTICIAS

Listado de noticias

Javier Diéguez, Director de Cyberzaintza: «La trasposición de NIS2 ayudará a implementar la Estrategia Vasca de Ciberseguridad»

  • 20/06/2025

Este organismo es clave en la protección de las infraestructuras críticas de Euskadi desde que se puso en marcha hace tres años.

En el marco del 𝗜𝗜𝗜 𝗙𝗼𝗿𝗼 𝗥𝗲𝗴𝗶𝗼𝗻𝗮𝗹 𝗱𝗲 𝗖𝗶𝗯𝗲𝗿𝘀𝗲𝗴𝘂𝗿𝗶𝗱𝗮𝗱 𝗱𝗲 𝗜𝗦𝗠𝗦 𝗙𝗼𝗿𝘂𝗺 𝗘𝘂𝘀𝗸𝗮𝗱𝗶, que tuvo lugar hace unos días, Javier Diéguez, Director de Cyberzaintza,abordó la importancia de la 𝗰𝗶𝗯𝗲𝗿𝘀𝗲𝗴𝘂𝗿𝗶𝗱𝗮𝗱 𝗲𝘀𝘁𝗿𝗮𝘁é𝗴𝗶𝗰𝗮 como palanca para la resiliencia empresarial y territorial. En esta entreviste realizada tras su intervención destaca el papel clave de esta entidad para liderar la actual Estrategia Vasca de Ciberseguridad para el periodo 2024 a 2029 y cree que la trasposición de NIS2 en nuestro país va a ser un aliado para el desarrollo de la citada Estrategia.

“En estos momentos estamos preparando el llamado Plan de Apoyo de Ciberseguridad que es un mecanismo que está basado en una serie de pasos. Estos pasos van desde el recabar información básica a los agentes que pueda ser relevante, esa información a Cyberzaintza la va a decir en qué nivel de madurez se encuentra esa organización y qué servicios podría tener sentido prestarles”, destaca.

¿Qué puede destacar de su intervención este III Foro Regional ISMS Forum Euskadi y de los dos años de vida de Cyberzaintza, como entidad?

La primera valoración que hacemos es la oportunidad para poder compartir el papel de Cybertzainzta, como agente clave del sistema vasco de ciberseguridad.

ISMS Forum tuvo un gran poder de convocatoria a la hora de reunir a un grupo importante de profesionales de distintas organizaciones para explicarles qué papel está jugando esta Agencia dentro de todo el puzzle de agentes de este ecosistema.

¿Cómo está afectado el fenómeno de los ciberataques a las infraestructuras de Euskadi y qué medidas implementa Cyberzaintza para mitigar ese impacto?

Nos preocupa el incremento que ha habido de ciberataques, tanto a nivel general como en el seno de Euskadi. Al final estamos hablando de una dinámica constante la llegada de ciberataques. Siempre hablamos de las infraestructuras sensibles, es decir aquellas que son importantes para Euskadi pero que no están dentro del ámbito del CNPIC.

Las infraestructuras con el apellido de críticas es una competencia estatal. En Euskadi si tenemos un programa especial para otras infraestructuras que las llamamos sensibles que son suficientemente importantes para el territorio y a esas nos dedicamos.

En ese sentido, les ofrecemos algunos servicios que van a desarrollarse mucho en los próximos doce meses, sobre todo por el paso de la Agencia Vasca de Ciberseguridad al Departamento de Seguridad del Gobierno Vasco vamos a trabajar con la dirección que coordina actualmente la protección de estas infraestructuras en una oficina integral. En ese contexto será Cyberzaintza quien las proteja desde una óptica ciber.

En estos momentos estamos preparando el llamado Plan de Apoyo de Ciberseguridad que es un mecanismo que está basado en una serie de pasos. Estos pasos van desde el recabar información básica a los agentes que pueda ser relevante, esa información a Cyberzaintza la va a decir en qué nivel de madurez se encuentra esa organización y qué servicios podría tener sentido prestarles.

A partir de ahí se establece una relación permanente y continua donde se hace un seguimiento de todas las actividades que se realizan con dicha organización, se hace una relación bidireccional en la que esa organización puede expresar su intención o preferencia por acceder a determinado servicio o por dejar de utilizar alguno que no hiciera falta, amén de proponer mejoras de ese servicio por su uso.

Es una relación permanente y constante. Esperamos arrancar este modelo a la vuelta del verano. A partir de ahí empezaremos con unas organizaciones para extender luego el servicio en todo el 2026 al resto.

¿Qué puede decirnos de la Estrategia Vasca de Ciberseguridad, que Cyberzaintza ha liderado para   el periodo 2024-2029, buscando convertir a Euskadi en un país ciberresiliente?

Uno de los cometidos que se encomendó a la Agencia Vasca de Ciberseguridad en el momento de su creación en el año 2023 fue precisamente fue el definir y dinamizar la Estrategia Vasca de Ciberseguridad. En ese sentido quedaron definidos los cuatro ejes principales de actuación que están orientados tres de ellos a los públicos objetivos de nuestro trabajo: sector público, sector privado y la ciudadanía.

Junto a ellos hay un cuarto eje que es más transversal. Tiene que ver con el posicionamiento internacional del territorio, que también tiene que ver con la ciberseguridad. En este contexto estos son los cuatro ejes principales, durante mi ponencia en el Foro Euskadi ISMS Forum me centré sobre todo en el eje del sector privado porque era el que más venia a cuento con el foro en el que estábamos

Esta Estrategia trata de ser algo transversal, para cubrir esos cuatro ámbitos que le he mencionado y también es cierto queCyberzaintza no aspira a hacer todas las actividades de la estrategia.

Lo único que aspira es que se hagan esas actividades, que se dinamicen y coordinen desde el lugar que tenga más sentido hacerlo, eso sí, todo ello bajo el paraguas de unos órganos de gobernanza definidos y coordinados por la Agencia que hagan que todas las actuaciones de ciberseguridad en Euskadi respondan, sean coherentes y respondan a dicha Estrategia

Recientemente su entidad puso en marcha un simulacro de ciberataque con algunas entidades públicas de Euskadi ¿Qué resultados han tenido y que importancia tiene la realización de estos ejercicios?

Nosotros desde que arrancamos como AgenciaVasca de Ciberseguridad siempre hemos recomendado como buenas prácticas generales a empresas y organizaciones que hagan este tipo de entrenamientos de cara a prepararse cuando llegue un ciberincidente.

De esta manera se trata que en el momento que se enfrenten con un episodio a nivel práctico, no tengan que pensar y sepan lo que tienen que hacer en cada momento. Se trata de implementar el protocolo que hayan definido con anterioridad para este tipo de situaciones. Es una insistencia que llevamos haciendo en los últimos tres años.

Todo empezó con la invasión rusa de Ucrania, incluso cuando no éramos Agencia. Pusimos en marcha un  grupo de colaboración interinstitucional, con el cual, sobre todo con instituciones públicas empezamos una dinámica de entrenamiento y simulación de incidentes. Utilizamos role playes y determinadas acciones puntuales orientadas a que se aprendiera dicha dinámica.

De cara al futuro, ahora que nos vamos a ocupar de las infraestructuras sensibles que van más allá del sector público, vamos a extender la dinámica a todos los sectores. Haremos prácticas globales y otras sectoriales tratando de simular escenarios de alta probabilidad que puedan producirse desde un ataque de ransomware, o de denegación de credenciales por grupos activistas. Esta tendencia se intensificará el año que viene con los nuevos servicios que pondremos en marcha.

¿Cómo cree que puede ayudar al tejido empresarial y a las propias infraestructuras la aprobación de la normativa como Dora o Nis2?  

Creo que la regulación tiene varios ámbitos positivos. Al obligarte a realizar ciertas cosas empuja a empresas y organizaciones hacia la madurez. Además, desde la óptica privada hay otra perspectiva que deben tener en cuenta que son las posibles sanciones por no cumplir con la normativa vigente.

Al mismo tiempo, si nos abstraemos de este entorno y nos centramos en NIS2 hay que darse cuenta de que se extiende su ámbito de actividad de 12 a 18 sectores. El Plan de Protección de Infraestructuras Sensibles de Euskadi estaba basado en la sectorialización en doce grupos que no eran los mismos de la Ley PIc 8/2021 de 28 de abril de protección de infraestructuras críticas, pero eran similares.

La extensión a dieciocho sectores por la futura trasposición de Nis2 nos va a permitir meter en este paraguas de protección a un numero mayor de organizaciones y sectores de los que estábamos haciendo hasta hoy. Desde ese puno de vista es positivo y al mismo tiempo un reto que abordamos con ilusión porque es uno de los objetivos de la propia Estrategia Vasca de Ciberseguridad. Esta nueva NIS encaja bien con nuestra Estrategia y con el role de Cybertzainzta para posicionarse como un elemento clave en la mejora de la resiliencia

Por último, ¿Qué impacto puede tener el uso de la tecnología de IA para la lucha contra los ciberataques?  ¿Está ya la Ciberzaintza, trabajando con alguna herramienta de forma específica?

Estamos en el momento de evaluar algunas herramientas para la labor de protección que hacemos en nuestra actividad diaria, no solo a nivel técnico sino incluso en el ámbito normativo donde hay que revisar documentación y ofrecer respuestas a cierto tipo de dudas de las organizaciones afectada etc., por ahí tiene otro uso.

Al mismo tiempo el uso de la IA como herramientas nos puede permitir dar un mejor servicio, sobre todo en comunidades heterogéneascomo la nuestra. Gracias a esta tecnología disruptiva podemos ser más eficientes. En el futuro, las organizaciones se dirigirán a un servicio y esta IA podrá atenderles de forma independiente del volumen e intensidad de esa interacción.

La utilidad es clara para la respuesta y prevención de ciber incidentes, y al mismo tiempo hay ámbitos distintos como antes le comentaba en nuestra relación con las organizaciones. Es un aliado para que Cyberzaintza a corto y medio plazo sea más eficiente.

Global Gold Sponsor

ADVENS
Aiuken
Akamai
Armis
Avepoint
BigID Glosario
Biocatch
Bitdefender
BSI
cato
checkpoint-1421653472437
cisco-1421650965584
cloudflare1421692707520
comforte
corelight-1421708018278
crowdstrike-142x531699271338
logo-cyberark-pour-signaletiques--
cyberguru-1421683269126
cyberprooflogo-negro-011711383209
Deloitte
devo1421618475498
digit-142x531688728851
digital ai
elastic-1421681117927
entrust-1421665994898
EverBridge
extrahop
fortinet1584959160
fujitsu
group-ib-142x531696331301
hashicorp
hcl-1421692878218
ibmsubir1520936809
ic-consult-1421709636627
inmersivelabs-1421650967812
infoblox-142x531698221380
Innovery
insside-142x531694532390
Integrity360
Izertis
KPMG
leet-security
mandiant1712242876
METODOS Y TECNOLOGIA DE SISTEMAS Y PROCESOS, S.L.
microsoft1421636982759
mimecast
netskope1421542790367
nextvision-1421678725138
okta-142x531690371671
Omada
onetrust
Onum
OpenText
paloalto1421664436588
ping-identity
primix-142x531690198289
qualys-subir1520939472
proofpointsubir1491214442
recorderfuture1421636531854
red-sift-142-21668078952
riskrecon-1421646309412
netwitness
Rubrik
S2GRUPO-AZUL_400
Sailpoint
samsung-subir14912155251502970957
sectigo-142x531707909251
secure-it-1421679989183
security-scorecard-142x531696326865
semperis-1421677077532
sentinelonelogo-nuevo1712129729
sia1613034479
Sonatype
sosafe-142x531699271952
splunk1421636028052
spycloud-1421681117779
stormshield-1421681119821
symantec-142x531693480568
synack
Tier8
transmitsecurity
TRC
trellix-1421650963625
trustworks
varonis1421555406337
veracode-1421677058859
logo-cytomic-142x531698911457
wiz-1421650968592
xm-cyber-142x531693291888
zepo
zscalerlogo1421569595297

Síguenos la pista

Linkedin X-twitter Youtube Instagram

Estamos en

Calle Segre, 29 1ºB.
28002 Madrid – España
+34 91 563 50 62

+34 636 69 13 92

Close

Ventajas de ser socio

¿POR QUÉ HACERSE SOCIO DE ISMS FORUM?

  • Tendrás acceso gratuito a todos los eventos organizados por ISMS Forum, incluyendo la Jornada Internacional de Seguridad de la Información anual.
  • Contarás con descuentos especiales para matricularte en las actividades formativas organizadas por ISMS Forum, como cursos o seminarios.
  • Podrás darte de alta en el Registro de Profesionales Certificados de España y poner a disposición del mercado, si lo deseas, tus datos de contacto. El único requisito es poseer al menos alguna de las siguientes certificaciones:
    • CDPP, CCSP, CPCC, CAIP, CDPD
    • CISA, CISM, CISSP, CDPSE, CC
  • Recibirás la newsletter de la Asociación y tendrás acceso a la descarga gratuita de estudios y publicaciones fruto de la labor de los Grupos de Trabajo de ISMS Forum u otros de especial interés para el sector.
  • Gracias al networking podrías incrementar tu red de contactos e intercambiar experiencias con otros profesionales de la Seguridad de la Información que desarrollan su labor en empresas, administraciones públicas, universidades y centros de investigación, otras asociaciones y organismos de todos los sectores.
  • Podrás formar parte de los grupos de trabajo de las distintas iniciativas de ISMS Forum (Data Privacy Institute (DPI), Cloud Security Alliance España (CSA-ES), Cyber Security Center (CSC), Grupo de Inteligencia Artificial (GIA), y Cyber Resilien Centre (CRC), y participar directamente en el desarrollo de sus actividades.

Y ADEMÁS LAS EMPRESAS

  • Podrán hacer visible su compromiso con la Seguridad de la Información y materializar la Responsabilidad Social Corporativa.
  • Si eres empresa tendrás la capacidad para nombrar a 8 trabajadores de la empresa como socios de pleno derecho.
  • Si eres microempresa (empresas de menos de 10 trabajadores) podrás nombrar hasta 2 trabajadores como socios de pleno derecho.
  • Si eres una gran empresa tendrás la capacidad para nombrar a 24 trabajadores de la empresa como socios de pleno derecho

Si te haces socio de ISMS Forum, formarás parte de la mayor red activa de organizaciones y expertos comprometidos con la Seguridad de la Información en España.