El anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad ha sido aprobado recientemente en Consejo de Ministros tras una propuesta conjunta de los ministerios del Interior, Defensa y para la Transformación Digital y de la Función Pública, con la finalidad de elevar la protección de las redes y sistemas de información que resultan cruciales en la mayoría de las actividades sociales y económicas, teniendo en cuenta el impacto de las ciberamenazas y las nuevas exigencias de un entorno en constante evolución.
Este texto legal, cuando concluya su tramitación, incorporará la Directiva (UE) 2022/2555, conocida como NIS-2, cuyas medidas pretenden establecer un nivel de seguridad homogéneo en todo el territorio de la UE. La directiva fue publicada el 14 de diciembre de 2022 con un plazo de trasposición que para España finalizaba el pasado 17 de octubre. El anteproyecto determina que deberán adaptarse a la norma las entidades ubicadas en territorio español o aquellas con residencia en otro Estado miembro que, no obstante, ofrezcan servicios o desarrollen su actividad en España.
En su contenido, la norma pone especial atención a sectores esenciales como la energía, el transporte, la banca y otros mercados financieros, la industria sanitaria y las infraestructuras digitales, entre otros. El texto subraya la necesidad de reducir la exposición al riesgo de incidentes y la obligación de adoptar acciones que permitan mantener niveles de ciberseguridad adecuados.
Ámbito de aplicación y medidas para entidades públicas y privadas
El anteproyecto concreta que se aplicará a organizaciones de diversa índole, tanto grandes corporaciones como administraciones públicas, siempre que formen parte de sectores considerados críticos. También se incluyen actividades consideradas de menor criticidad, como la gestión de residuos o el sector alimentario, aunque en estos casos la norma exige igualmente una evaluación individualizada del riesgo y la comunicación de cualquier incidente que pueda influir de manera significativa en su operativa.
El texto obliga a las organizaciones implicadas a comunicar a la mayor brevedad los sucesos relevantes para la seguridad de sus redes y sistemas, ya provengan de sus propias infraestructuras o de proveedores externos. También deben informar a los usuarios de sus servicios sobre posibles ciberamenazas significativas y las soluciones que se puedan adoptar.
Además de prever una alerta temprana de incidencias, el anteproyecto plantea la necesidad de designar un responsable de la seguridad de la información, figura encargada de la coordinación técnica, la gestión de incidentes y el desarrollo de políticas internas de ciberseguridad. En las organizaciones más relevantes por su tamaño, esta persona u órgano deberá contar con acreditación específica.
Centro Nacional de Ciberseguridad y autoridades de control
En el ámbito de la gobernanza, la norma diseña la Estrategia Nacional de Ciberseguridad y contempla la creación del Centro Nacional de Ciberseguridad, adscrito a la Secretaría General de Presidencia del Gobierno. Este centro ejercerá como punto de contacto con las instituciones de la UE, garantizará la cooperación transfronteriza y funcionará a modo de autoridad de gestión ante crisis de ciberseguridad.
También se establece que las autoridades de control serán el Ministerio del Interior, a través de la Oficina de Coordinación de la Ciberseguridad; el Ministerio de Defensa, a través del Centro Criptológico Nacional; y el Ministerio para la Transformación Digital y de la Función Pública, por medio de la Secretaría de Estado de Telecomunicaciones e Infraestructuras Digitales y de Digitalización e Inteligencia Artificial. Dichas autoridades verificarán el cumplimiento de los requisitos establecidos, supervisando la labor del responsable de la seguridad de la información y realizando las inspecciones necesarias.
El anteproyecto también define equipos de respuesta destinados a examinar amenazas y vulnerabilidades en redes y sistemas, respaldando a las entidades que precisen asistencia. Estas unidades podrán monitorizar en tiempo real las infraestructuras afectadas y difundir alertas tempranas cuando sea preciso.
Tramitación urgente y próximos pasos
El Consejo de Ministros ha decidido que la tramitación del anteproyecto se desarrolle con carácter de tramitación urgente, de forma que se agilice su aprobación en segunda vuelta por parte del Gobierno antes de su envío al Parlamento. Recordemos que el plazo para la trasposición de la Directiva NIS-2 al derecho interno español venció el 17 de octubre del año pasado, como he indicado antes.
En esta etapa, se recabarán informes de los departamentos implicados, como los ministerios de Defensa y de Hacienda, junto con la supervisión del Departamento de Seguridad Nacional. Posteriormente, se solicitará el dictamen del Consejo de Estado y se comunicará la aprobación del texto a la Comisión Europea para cumplir con el compromiso de transposición del marco legal.