nº 1.015 - 27 de febrero de 2025

El camino de la transposición de la Directiva NIS 2 en España: hacia una mayor ciberresiliencia

Javier Crespo Suárez. Abogado, DPO y Consultor en Derecho Digital. Castroalonso

España busca reforzar la ciberseguridad sentando las bases de la transposición de la Directiva NIS 2

Las claves hacia una ciberseguridad mejorada pasan por adoptar nuevas medidas frente a las ciberamenazas

La Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo de 14 de diciembre de 2022 (Directiva NIS 2) entró en vigor el 16 de enero de 2023, veinte días después de su publicación en el DOUE. Su transposición a las diferentes normativas nacionales debería haber tenido lugar antes del pasado 18 de octubre de 2024. Sin embargo, y como sabemos, esta transposición no se hizo efectiva en la mayor parte de los Estados miembros, entre los que se incluye España.

Esta Directiva vio la luz con el fin de que los Estados de la UE adoptasen medidas destinadas a garantizar un nivel común elevado de ciberseguridad en todo el territorio de la Unión Europea. Es novedosa en cuanto a la legislación anterior por la precisión y el carácter estricto de los nuevos requisitos que recoge.

El anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad

España ya está dando los pasos y sentando las bases para transponer e incorporar al ordenamiento jurídico español la Directiva Europea NIS 2 y al fin tenemos sobre la mesa un anteproyecto de una nueva ley de ciberseguridad para nuestro país.

Este anteproyecto, que ha sido aprobado por el Consejo de Ministros el pasado 14 de enero, surge de una propuesta conjunta de los Ministerios del Interior, de Defensa y del Ministerio para la Transformación Digital y de la Función Pública. No obstante, una vez el Gobierno dé luz verde al anteproyecto, cuya tramitación tiene carácter urgente, éste habrá de ser remitido al Congreso de los Diputados para que el proceso de aprobación continúe.

La nueva Ley española, que llevará por nombre Ley de Coordinación y Gobernanza de la Ciberseguridad, supone un paso necesario y fundamental a la hora de adoptar las importantes novedades previstas en la Directiva NIS 2 y de adaptar de manera rigurosa esta norma a nuestras necesidades en materia de gestión de la ciberseguridad. Su principal objetivo es el de reforzar la protección de redes y sistemas de información frente a las ciberamenazas imperantes.

Es una realidad tangible el hecho de que los ciberataques dirigidos frente a muchas de las grandes empresas y organizaciones penetran fácilmente y hacen daño a las mismas a pesar de las fuertes medidas implantadas para evitarlos. Esto debe servir de punto de partida y ha de hacernos reflexionar sobre las graves consecuencias que un ciberataque perpetrado contra cualquiera de las organizaciones o entidades de sectores considerados como críticos o esenciales puede generar. Los servicios básicos prestados a la ciudadanía y en los que se apoya la sociedad para seguir con su día a día sin sobresaltos, son algo en lo que muchas veces no reparamos hasta el momento en que no podemos hacer uso de los mismos o se nos priva de las ventajas que, para una civilización desarrollada como la nuestra, nos aportan.

Investigaciones recientes han demostrado, por ejemplo, la fragilidad que contemplan los sistemas de seguridad de los servicios de transporte ferroviario. Estos presentan abundantes vulnerabilidades consideradas críticas y que podrían hacer prosperar un ciberataque colapsando el tráfico y siendo causa de nefastas consecuencias, degenerando incluso en una verdadera catástrofe.

Esta es solo una muestra del caos y los problemas que puede producir la caída de uno de los servicios o sectores clave en el transcurso del día a día de un Estado, como es el del transporte ferroviario.

Con la Directiva NIS 2 como hoja de ruta para la futura Ley

Frente a este tipo de reflexiones, se elaboró en su día en el seno de la UE la Directiva NIS 2 con el objeto de fortalecer las medidas de ciberseguridad adoptadas por entidades públicas y privadas que prestan servicios en sectores críticos y esenciales y que, en todo caso, desempeñan un papel crucial para la sociedad y la economía de un Estado.

Ahora, el anteproyecto de Ley pretende, entre otras cuestiones, la creación de un Centro Nacional de Ciberseguridad (órgano que estaría adscrito a la Secretaría General de la Presidencia del Gobierno) que sería el encargado de gestionar todas las crisis que pudieran tener lugar en estos ámbitos y sectores, así como de supervisar el cumplimiento de la normativa en esta materia. Además, se pretenden definir aquellos sectores que han de quedar sujetos en España a la nueva Directiva, concretando el ámbito de aplicación y clasificando a las entidades como esenciales e importantes. Por otra parte, también busca reforzar las normas relativas al intercambio de información sobre ciberseguridad.

Sin duda alguna, tanto a través de la entrada en vigor de la Directiva NIS 2 como de la elaboración del anteproyecto de Ley en España, se están dando los pasos pertinentes y adecuados para que tenga lugar una verdadera aproximación de la regulación hacia la actual realidad que estamos viviendo en cuestión de ciberseguridad. No obstante, el verdadero reto será el de llevar las buenas palabras, una vez plasmadas en el papel, a todas y cada una de las organizaciones y administraciones a las que aplica la nueva normativa, haciendo de nuestra sociedad, en todo caso, un lugar más seguro y habitable. En última instancia, habrán de ser los organismos o entes afectados los que implementen aquellas medidas que sean idóneas para el cumplimiento de tal fin, exponiéndose en caso contrario no sólo a ser más vulnerables a los futuros ataques de los que puedan ser objeto, sino también a multas significativas por el quebrantamiento de la normativa. ■