![](./pubData/source/images/pages/page45.jpg)
TEMAS GENERALES
salvaguardarlo frente a este tipo de amenazas. Las directrices que publica la
OMI para la gestión de riesgos cibernéticos facilitan recomendaciones técni-cas
de alto nivel para alcanzar el objetivo deseado.
Desde el 2 de enero de 2021, la OMI exige mediante la aplicación del
Código Internacional de Gestión de la Seguridad Operacional (IGS) que los
buques y las compañías navieras lleven a cabo prácticas y ejercicios dentro
del ámbito de la seguridad cibernética y que los incluyan dentro de sus prácti-cas
habituales de gestión de la seguridad y de la protección marítimo-portua-ria.
Las administraciones marítimas deberán garantizar que los riesgos ciber-néticos
se aborden debidamente en los sistemas de gestión de la seguridad
aprobados a más tardar en la primera verificación anual del Documento de
Cumplimiento de la compañía naviera (DoC) después del 1 de enero de 2021.
La gestión eficaz de los riesgos cibernéticos debería garantizar un nivel de
concienciación adecuado sobre estos en todos los niveles de una organización.
El grado de concienciación y preparación debe ser el adecuado para las funcio-nes
y responsabilidades del sistema de gestión de los riesgos cibernéticos.
En España, el transporte marítimo y su cadena logística asociada (empre-sas
navieras, buques, agentes consignatarios, etc.), es decir, la Marina
Mercante y el sector marítimo-portuario en su conjunto, son considerados
operadores esenciales (servicios esenciales), y por imperativo legal (Real
Decreto 43/2021, de 26 de enero) están obligados a llevar a cabo una gestión
de incidentes de seguridad y su notificación a la autoridad competente:
MITMA y CSIRT de referencia que corresponda.
La velocidad de los cambios de las tecnologías y de las amenazas dificulta
el tratamiento de estos riesgos solamente mediante normas técnicas. En el
sector del transporte marítimo no hay dos organizaciones que sean iguales. En
el caso de los buques con sistemas de índole cibernética limitados, la simple
aplicación de un sistema de gestión de procedimientos básicos de seguridad
cibernética puede ser suficiente; sin embargo, los buques y compañías maríti-mas
o grandes empresas navieras con sistemas cibernéticos complejos reque-rirán
un mayor nivel de atención y deberían encontrar recursos adicionales a
través de socios del sector reputados y del Gobierno mediante sus administra-ciones
públicas. En este sentido, el Ministerio de Transportes, Movilidad y
Agenda Urbana, a través de la Dirección General de la Marina Mercante
como autoridad marítima nacional, y el Ministerio de Defensa a través de la
Armada española pueden jugar un papel de vital importancia en la coopera-ción
con la industria marítima española y, en definitiva, en la seguridad y
protección de los intereses nacionales y del servicio esencial que representa la
Marina Mercante y la logística e infraestructuras críticas del transporte maríti-mo
y logística portuaria nacional.
Ataques cibernéticos «sencillos», como el GPS/AIS Spoofing, dirigidos a
buques mercantes y/o militares, así como a centros de control del tráfico
marítimo estatales, generan señales GPS y AIS equívocas y pueden falsear la
264 Marzo