ANSSI Agencia Nacional de Ciberseguridad de Francia.

ANSSI es la agencia nacional de ciberseguridad de Francia, bajo tutela del Primer Ministro desde 2009. Es la autoridad nacional en materia de política de ciberseguridad en Francia, cualifica productos y proveedores de servicios, publica EBIOS Risk Manager y actúa como autoridad competente para la transposición de NIS 2. Sus cualificaciones (SecNumCloud, PVID, PASSI) son el referente en el sector público francés.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyStandards bodiesAll entries

La perspectiva de Cyber Academy

ANSSI es la agencia nacional de ciberseguridad de Francia, bajo tutela del Primer Ministro desde 2009. Es la autoridad nacional en materia de política de ciberseguridad en Francia, cualifica productos y proveedores de servicios, publica EBIOS Risk Manager y actúa como autoridad competente para la transposición de NIS 2. Sus cualificaciones (SecNumCloud, PVID, PASSI) son el referente en el sector público francés.

La ANSSI es la autoridad nacional francesa en materia de ciberseguridad. Su nombre completo es Agence nationale de la securite des systemes d'information.

Que hace la ANSSI

Donde se situa

La ANSSI depende del Secretariat-General for National Defence and Security. Ese organo se situa bajo la autoridad del Primer Ministro.

Esto mantiene a la ANSSI separada de los servicios de inteligencia y de las fuerzas del orden. La agencia es defensiva por diseno.

Esa separacion importa en la practica. Las organizaciones pueden compartir libremente los detalles de un incidente con la ANSSI. No tienen que temer que la misma agencia realice operaciones ofensivas o acciones judiciales.

Sus funciones principales

Su ambito es amplio. La ANSSI hace varias cosas a la vez:

  • Define la politica y la doctrina nacionales de ciberseguridad.
  • Opera el CERT-FR para la respuesta a incidentes y la inteligencia de amenazas.
  • Supervisa a los operadores de importancia vital y a las entidades esenciales.
  • Publica guias y metodos utilizados como referencia en toda Francia.

La ANSSI tambien mantiene EBIOS Risk Manager. Es el metodo de analisis de riesgos que utilizan muchas organizaciones francesas. Les ayuda a construir los escenarios de amenaza que sustentan su programa de seguridad. Lo mantiene la ANSSI, no un organismo de normalizacion privado.

Cualificaciones y visados

La mayoria de los profesionales aborda primero el esquema de cualificacion. La ANSSI hace mas que redactar normas.

Evalua productos y proveedores de servicios frente a requisitos publicados. Despues concede una cualificacion o un visado de seguridad.

Estas etiquetas tienen un peso real. El sector publico y los operadores regulados a menudo las exigen por politica interna.

Las principales etiquetas

  • SecNumCloud cualifica a los proveedores de servicios cloud. Se basa en una linea base exigente de seguridad y soberania. Cada vez se cita mas como el listón para las cargas de trabajo sensibles del sector publico.
  • PASSI cualifica a los proveedores de auditoria de seguridad. Cubre las pruebas de intrusion, la revision de configuracion y la auditoria de arquitectura. El comprador sabe asi que el auditor cumple un estandar comun.
  • PVID cubre a los proveedores de verificacion de identidad a distancia. Operan flujos de alta que deben resistir los deepfakes y el fraude documental.

La ANSSI frente a ENISA y NIS 2

La ANSSI no es ENISA

A menudo se confunde la ANSSI con ENISA. Se situan en niveles diferentes.

  • La ANSSI es la autoridad nacional de un solo Estado miembro, Francia.
  • ENISA es la agencia de la UE que da apoyo a todos los Estados miembros. Gestiona el marco europeo de certificacion de ciberseguridad.

Las dos cooperan. Sin embargo, la ANSSI es el organo que supervisa a las entidades francesas. Puede actuar como autoridad competente cuando las normas de la UE se convierten en derecho frances.

El caso de NIS 2

NIS 2 es el ejemplo mas claro. La directiva es europea. Aun asi, debe transponerse y aplicarse a nivel nacional.

En Francia, la ANSSI es la autoridad competente para NIS 2. Hace tres cosas:

  • Define que entidades entran en el ambito de aplicacion.
  • Fija las expectativas en cuanto a gestion de riesgos y notificacion de incidentes.
  • Supervisa el cumplimiento.

Asi, una entidad esencial o importante francesa se pregunta a quien notificar tras un incidente significativo. La respuesta pasa por la ANSSI y el CERT-FR. No va directamente a Bruselas.

Frequently asked questions

01Es la ANSSI lo mismo que la ENISA?

No. La ANSSI es la autoridad nacional de ciberseguridad de Francia, mientras que la ENISA es la agencia de la Union Europea que apoya a todos los Estados miembros. La ANSSI supervisa a las entidades francesas y actua como autoridad competente a nivel nacional; la ENISA opera a nivel de la UE, incluido el marco europeo de certificacion.

02Investiga o persigue la ANSSI los ciberataques?

La ANSSI es una autoridad defensiva centrada en la proteccion, la orientacion y la respuesta a incidentes a traves del CERT-FR. Esta deliberadamente separada de los organismos de inteligencia y judiciales, por lo que la persecucion penal corresponde a otras autoridades y no a la propia ANSSI.

03Que son SecNumCloud, PASSI y PVID?

Son cualificaciones de la ANSSI. SecNumCloud cubre a los proveedores de servicios en la nube, PASSI cubre a los proveedores de auditoria de seguridad y PVID cubre a los proveedores de verificacion de identidad a distancia. Cada una indica que el proveedor fue evaluado frente a los requisitos de la ANSSI, y a menudo se exigen en la contratacion del sector publico frances.

04Que papel desempena la ANSSI en NIS 2?

NIS 2 es una directiva de la UE que cada pais transpone a su Derecho nacional. En Francia, la ANSSI se posiciona como la autoridad competente: ayuda a definir que entidades estan dentro del ambito y supervisa sus obligaciones de gestion de riesgos y notificacion de incidentes, con el CERT-FR como punto de contacto operativo.

05Quien mantiene el metodo EBIOS Risk Manager?

EBIOS Risk Manager es publicado y mantenido por la ANSSI. Es el metodo de analisis de riesgos ampliamente utilizado en el sector publico frances y por los operadores de importancia vital para construir los escenarios de ataque que orientan sus controles de seguridad.

¿Necesitas más que una definición?

Reserva una llamada de orientación gratuita de 20 minutos. Te orientamos sobre la edición que convierte este término en una práctica lista para auditoría.