Se aprueba el Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad: NIS2 llega a España
JUAN ANTONIO CALLESCompartir
El pasado martes, el Consejo de Ministros aprobó el anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad, una normativa clave que transpone al derecho español la Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo, conocida como NIS-2. Esta iniciativa, resultado de un esfuerzo conjunto entre los ministerios del Interior, de Defensa y para la Transformación Digital y de la Función Pública, busca fortalecer la protección de las redes y sistemas de información en sectores críticos para el desarrollo socioeconómico del país.
La aprobación de esta norma supone un avance significativo en la estrategia nacional de ciberseguridad, respondiendo a los retos que plantean las crecientes ciberamenazas. El texto del anteproyecto establece un marco jurídico que refuerza la seguridad digital, garantiza la cooperación intersectorial e internacional, y sienta las bases para la creación del Centro Nacional de Ciberseguridad, que actuará como organismo clave en la gestión de incidentes y en la coordinación con otros países de la Unión Europea.
Entidades Afectadas y Sectores de Crítico Interés
El anteproyecto especifica que las normas de ciberseguridad se aplican a las entidades públicas y privadas con residencia fiscal en España, así como a aquellas que, aunque localizadas en otro Estado miembro de la Unión Europea, ofrezcan servicios o desarrollen actividades en territorio español. Esta regulación es particularmente relevante para sectores considerados esenciales, como energía, transporte, banca, mercados financieros, sector sanitario, infraestructuras digitales, industria nuclear y administraciones públicas.
Asimismo, se incluyen sectores de menor criticidad, entre los que destacan los servicios postales y de mensajería, la gestión de residuos, la producción y distribución de alimentos, los proveedores de servicios digitales y la investigación científica. Estas entidades estarán obligadas a realizar evaluaciones de riesgo y a implementar medidas que aseguren la resiliencia de sus redes y sistemas de información, incluyendo la notificación de incidentes significativos y la comunicación de ciberamenazas relevantes a sus usuarios.
Figura del Responsable de Seguridad de la Información
Una de las novedades más destacadas del anteproyecto es la creación de la figura del responsable de la seguridad de la información, encargado de desarrollar estrategias y políticas de ciberseguridad, supervisar su implementación y garantizar el cumplimiento de la normativa vigente. En las entidades esenciales, este responsable deberá contar con acreditaciones específicas, reflejando la relevancia de su rol en la protección de los activos digitales.
El responsable también será el punto de contacto para la coordinación técnica y la gestión de incidentes, asegurando respuestas rápidas y efectivas ante cualquier amenaza. Esto subraya el compromiso del legislador con la profesionalización y especialización en materia de ciberseguridad.
Creación del Centro Nacional de Ciberseguridad
El anteproyecto establece la creación del Centro Nacional de Ciberseguridad, que estará adscrito a la Secretaría General de Presidencia del Gobierno. Este organismo será responsable de coordinar las acciones de ciberseguridad a nivel nacional, garantizará la cooperación con otras autoridades europeas y actuará como autoridad de gestión de crisis en caso de incidentes de gran magnitud.
Entre las competencias del Centro Nacional de Ciberseguridad destacan:
- Seguimiento y análisis de ciberamenazas y vulnerabilidades a escala nacional.
- Prestación de asistencia técnica a entidades afectadas.
- Supervisión en tiempo real de las redes y sistemas de información.
- Emisión de alertas tempranas y difusión de información sobre amenazas.
Estas acciones buscan garantizar una protección integral y efectiva, consolidando a España como referente en materia de ciberseguridad en el ámbito europeo.
Autoridades de Control y Supervisión
El anteproyecto también define un marco de gobernanza con autoridades de control encargadas de la supervisión y ejecución de las medidas establecidas. Estas incluyen:
- El Ministerio del Interior, a través de la Oficina de Coordinación de Ciberseguridad.
- El Ministerio de Defensa, mediante el Centro Criptológico Nacional del Centro Nacional de Inteligencia.
- El Ministerio para la Transformación Digital y de la Función Pública, a través de sus Secretarías de Estado de Telecomunicaciones y Digitalización.
Estas instituciones tendrán la responsabilidad de verificar el cumplimiento de los estándares técnicos, inspeccionar sistemas y redes, y garantizar que las medidas de ciberseguridad sean adecuadas y efectivas.
Tramitación Urgente
El Consejo de Ministros ha decidido otorgar carácter de urgencia a la tramitación de este anteproyecto. Esta medida busca acelerar su aprobación definitiva, dado que el plazo para la trasposición de la Directiva NIS-2 al derecho español expiró el pasado 17 de octubre de 2024.
El Ministerio del Interior coordinará los informes necesarios de otros departamentos ministeriales, así como del Consejo de Estado y la Agencia Española de Protección de Datos, entre otros organismos. Además, se comunicará a la Comisión Europea la aprobación de este anteproyecto, reforzando el compromiso de España con la seguridad digital.
Conclusión
La aprobación del anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad representa un hito en la protección de los activos digitales en España. La transposición de la Directiva NIS-2 no solo fortalece la seguridad nacional, sino que también posiciona a nuestro país como líder en ciberseguridad en Europa, garantizando un entorno digital más seguro y resiliente frente a las crecientes amenazas globales.
Nota de prensa oficial: https://www.interior.gob.es/opencms/ca/detalle/articulo/El-Consejo-de-Ministros-aprueba-el-anteproyecto-de-Ley-de-Coordinacion-y-Gobernanza-de-la-Ciberseguridad/
