Panorama institucional de la gobernanza de la ciberseguridad en España

Abstract

Mantener seguro el ciberespacio es una tarea compleja que supone un reto constante para las instituciones públicas. A la primera oleada de desinterés político por la ciberseguridad le ha seguido una renovada preocupación por la soberanía digital, la defensa de la ciberseguridad nacional y, más recientemente, la protección de la ciudadanía en el ciberespacio. Para cumplir estos objetivos, los Estados han desarrollado normativas, instituciones y prácticas basadas en diferentes narrativas. Este estudio analiza las instituciones involucradas en la gobernanza de la ciberseguridad en España a través de cuatro prácticas: cultura de ciberseguridad, respuesta a ciber incidentes y ciber crisis, protección de infrastructuras críticas e investigación criminal. El artículo aporta evidencias coincidentes con la conclusión de que España ha adoptado la narrativa de la gobernanza multi-stakeholder a través de competencias distribuidas entre diferentes actores. Este enfoque se ha materializado en fragmentación institucional y a la falta de claridad sobre el sistema de ciberseguridad en España. El artículo finaliza con propuestas de políticas públicas que podrían contribuir a una mayor unidad, coordinación y claridad del sistema de gobernanza de la ciberseguridad.

Securing cyberspace is a complex task and an ongoing challenge for public institutions. The first wave of political disinterest in cybersecurity has been followed by a renewed concern for digital sovereignty, the defence of national cybersecurity and, more recently, the protection of citizens in cyberspace. States have developed regulations, institutions and practices based on different narratives to meet these objectives. This study analyses the institutions involved in the governance of cybersecurity in Spain through four practices: cybersecurity culture, cyber incident and cyber crisis response, critical infrastructure protection and criminal investigation. The article provides evidence that coincides with the conclusion that Spain has adopted the narrative of multi-stakeholder governance through distributed competences among different actors. This approach contributes to institutional fragmentation and a lack of clarity about the cybersecurity system in Spain. The article ends with proposals for public policies that could contribute to greater unity, coordination and clarity in the cybersecurity governance system.