España | Luz verde para anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad

El Consejo de Ministros de España aprobó el anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad, con ojo puesto en reforzar la protección de las redes y sistemas de información.

La normativa en revisión traspone al plano nacional el ordenamiento jurídico español la Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo, del 14 de diciembre de 2022, conocida como NIS-2. Afectará a entidades públicas y privadas que, con residencia en España o en el bloque, desarrollen su actividad en el país.

La aprobación del anteproyecto en España fue a propuesta conjunta de los ministerios del Interior, de Defensa y para la Transformación Digital y de la Función Pública. El principal argumento de la decisión son los nuevos riesgos asociados a la actividad digital, que requieren “respuestas adaptadas, coordinadas e innovadoras”.

Relacionado: Ataques cibernéticos pueden costar 4 mdd a los gobiernos, dice el BID

Las entidades alcanzadas estarán encuadradas en sectores considerados de alta criticidad para el normal funcionamiento de la vida social y económica del país; involucra a sectores como la energía, el transporte, banca y mercados financieros, sector sanitario, agua, infraestructuras digitales y servicios tecnológicos, entidades de la administración pública e industria nuclear; también otros de menor criticidad como los servicios postales, mensajería y proveedores de servicios digitales.

Los actores involucrados deberán realizar una evaluación individualizada de su riesgo y poner en marcha una serie de actividades para garantizar y elevar sus niveles de seguridad, a fin de prevenir el riesgo de incidentes. Además, estarán obligadas a notificar incidentes significativos que se produzcan en su operativa, tanto en servicios propios como si estos pertenecen a proveedores externos.

Centro Nacional de Seguridad

El anteproyecto diseña la Estrategia Nacional de Ciberseguridad y crea el Centro Nacional de Ciberseguridad, órgano de contacto único con la Unión Europea adscrito a la Secretaría General de Presidencia del Gobierno que se encargará de la dirección, impulso y coordinación en la materia; garantizará la cooperación intersectorial y transfronteriza con otras autoridades competentes al tiempo que será autoridad de gestión de las crisis de ciberseguridad. 

Las autoridades de control son las mismas que propusieron la aprobación: los ministerios del Interior, de Defensa y para la Transformación Digital y de la Función Pública. Estan deberán verificar el cumplimiento de los estándares, especificaciones e instrucción técnicas de ciberseguridad y realizar comprobaciones, inspecciones y pruebas necesarias. 

Además, la iniciativa crea la figura de responsable de seguridad de la información, que deberá ocuparse de elaborar y someter a la aprobación de la organización la estrategia y políticas de ciberseguridad; supervisar y desarrollar la aplicación de dichas políticas y su efectividad; supervisar el cumplimiento de la normativa aplicable en materia de seguridad de las redes y sistemas de información, y gestionar los incidentes de ciberseguridad.

Se pidió dar trámite administrativo de urgencia al anteproyecto para su aprobación. En esta fase, el Ministerio del Interior recabará informes relacionados y solicitará información a dependencias ministeriales. La dependencia señaló que “comunicará de inmediato la aprobación de este anteproyecto a la Comisión Europea, dado que el plazo para la trasposición de la Directiva NIS-2 al derecho interno español venció el 17 de octubre de 2024”.