No te pierdas nuestros contenidos
SuscribirmeEn un entorno cada vez más interconectado, garantizar la defensa de los sistemas de información es una prioridad estratégica para todos los países. Las autoridades españolas son conscientes de esta realidad y han impulsado un Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad para transponer la Directiva (UE) 2022/2555, también conocida como Directiva NIS2, y ofrecer un marco actualizado y sólido para la prevención y gestión de amenazas en el ciberespacio, adaptándose a los crecientes riesgos y cumpliendo con las exigencias de la Unión Europea.
La iniciativa anunciada surge de la colaboración conjunta de varios ministerios con competencias clave en la materia: interior, defensa y transformación digital. Su objetivo principal es incorporar al ordenamiento jurídico nacional la Directiva NIS2 y acelerar su transposición, ya que según lo establecido, esta debía completarse antes de octubre de 2024.
La Directiva NIS2 establece requisitos y medidas que todos los Estados miembros deben cumplir para proteger las infraestructuras tecnológicas, y destaca la necesidad de respuestas coordinadas e innovadoras para minimizar el riesgo de incidentes graves y garantizar la prestación normal de servicios esenciales. Dado que las redes y sistemas de información son fundamentales para el funcionamiento de la economía y la sociedad, y considerando el incremento constante de la exposición a ciberamenazas, resulta imperativo adoptar un enfoque riguroso y sistemático en la gestión de la ciberseguridad.
Si bien el texto del Anteproyecto de Ley todavía no ha sido publicado, conforme a la nota de prensa emitida tras el Consejo de Ministros, las principales características de la mencionada iniciativa legislativa se podrían resumir en los siguientes puntos:
Ámbito de aplicación y entidades incluidas
Uno de los pilares de la propuesta es definir con precisión los sectores sujetos a las nuevas obligaciones de ciberseguridad, lo que afecta a organizaciones públicas y privadas con sede en España o que operen en el país. Los sectores críticos incluyen energía, transporte, finanzas, salud, agua, infraestructuras digitales, tecnología, administración pública e industria nuclear. Una de las novedades introducidas por medio de este Anteproyecto es que también se consideran importantes (y por tanto sujetos al régimen de la futura regulación) los servicios postales y de mensajería, la gestión de residuos, la industria química, la industria de la alimentación, los servicios digitales, la investigación científica y la seguridad privada.
Nuevas responsabilidades y obligaciones de notificación
Asimismo, se prevé que las organizaciones comprendidas en su ámbito de aplicación realicen un análisis de los riesgos a los que se enfrentan y adopten las medidas necesarias para garantizar la seguridad de sus redes y sistemas de información, evaluando también los servicios externos o socios con acceso a datos críticos. Además, se establece la obligación de notificar cualquier incidente relevante a las autoridades competentes y de informar a usuarios o clientes en caso de amenazas graves, ofreciendo soluciones y pautas de actuación claras.
La figura del responsable de la seguridad de la información
El Anteproyecto establece la creación de un puesto clave en cada entidad: el responsable de la seguridad de la información, que será el encargado de diseñar la estrategia de protección, supervisar la implantación de medidas y garantizar el cumplimiento normativo, fomentando una actuación unificada y evitando la dispersión de funciones.
Creación del Centro Nacional de Ciberseguridad, autoridades de control y equipos de respuesta a incidentes
Otro de los puntos centrales es la creación del Centro Nacional de Ciberseguridad, adscrito a la Secretaría General de la Presidencia del Gobierno. Este organismo dirigirá, coordinará e impulsará las políticas de protección digital a nivel nacional y actuará como canal de comunicación con las instituciones de la Unión Europea.
La norma también asigna competencias específicas a distintos ministerios para supervisar el cumplimiento de los estándares de seguridad. El Ministerio del Interior, a través de la Oficina de Coordinación de Ciberseguridad; el Ministerio de Defensa, mediante el Centro Criptológico Nacional; y el Ministerio para la Transformación Digital y de la Función Pública, por medio de las Secretarías de Estado competentes, serán los encargados de esta tarea. Además, se incluyen equipos especializados en la identificación y tratamiento de incidentes, encargados de detectar vulnerabilidades, asistir a las organizaciones afectadas y difundir alertas tempranas.
Tramitación urgente y siguiente fase parlamentaria
Para agilizar la implementación de estas disposiciones, el Gobierno ha optado por la tramitación urgente del anteproyecto, con el objetivo de llevar el texto lo antes posible a las Cortes Generales para su debate y aprobación. Los siguientes pasos incluyen la solicitud de informes obligatorios a varios ministerios y organismos, como el Banco de España y la Agencia Española de Protección de Datos, así como la obtención del dictamen del Consejo de Estado.
NOTA: actualización del contenido a 20/01/2025. El texto del Anteproyecto está disponible en enlace.
No te pierdas nuestros contenidos
Suscribirme