nº 1.015 - 27 de febrero de 2025
Consejo de Ministros
Fortalecimiento de la protección de las redes y sistemas de información
El Consejo de Ministros del pasado 14 de enero aprobó el anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad a propuesta conjunta de los ministerios del Interior, Defensa, Transformación Digital y Función Pública. Este ambicioso proyecto, promovido por la Secretaría de Estado de Seguridad, tiene como meta fortalecer la protección de las redes y sistemas de información, fundamentales para el desarrollo de la mayoría de las actividades sociales y económicas actuales. Estos sistemas están cada vez más expuestos a graves ciberamenazas y enfrentan desafíos que demandan respuestas adaptadas, coordinadas e innovadoras.
Una vez sea finalmente aprobada, esta ley incorporará al ordenamiento jurídico español la Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, conocida como NIS-2. Esta directiva incluye una serie de medidas destinadas a garantizar un alto nivel común de ciberseguridad en toda la Unión Europea, lo que subraya la importancia de la cooperación transnacional en esta materia.
El anteproyecto precisa que las entidades públicas o privadas afectadas son aquellas que tengan su residencia fiscal en España o, si tienen su residencia en otro Estado miembro de la Unión Europea, ofrezcan servicios o realicen actividades en territorio español. Además, estas entidades deben operar en sectores considerados de alta criticidad para el normal funcionamiento de la vida social y económica del país. Entre dichos sectores se incluyen la energía, el transporte, la banca y los mercados financieros, el sector sanitario, el suministro de agua, las infraestructuras digitales y los servicios tecnológicos, las entidades de la administración pública y la industria nuclear.
El anteproyecto también contempla sectores de menor criticidad, como los servicios postales y de mensajería, la gestión de residuos, la fabricación, producción y distribución de sustancias y mezclas químicas, la producción, transformación y distribución de alimentos, los proveedores de servicios digitales, la investigación científica y la seguridad privada. Las entidades de todos estos sectores deberán realizar una evaluación individualizada de sus riesgos y poner en marcha una serie de actuaciones encaminadas a garantizar y aumentar los niveles de seguridad de sus redes y sistemas de información, con el fin de prevenir incidentes.
Además, estas entidades estarán obligadas a notificar los incidentes significativos que se produzcan en sus operaciones o en la prestación de sus servicios, ya sea en redes y servicios propios o de proveedores externos. También deberán comunicar rápidamente a los destinatarios de sus servicios, tanto personas físicas como jurídicas, cualquier ciberamenaza significativa que pueda afectarlos y las medidas o soluciones que pueden adoptar como respuesta.
Figura del responsable de la seguridad de la información
El anteproyecto diseña la figura del responsable de la seguridad de la información como la persona u órgano designado por las entidades, encargado de las funciones de punto de contacto y de coordinación técnica. En las entidades esenciales, que son las más relevantes en función de su tamaño, el responsable de la seguridad de la información deberá obtener la condición de personal acreditado. Este responsable se encargará de elaborar y someter a aprobación de la organización la estrategia y políticas de ciberseguridad, supervisar y desarrollar la aplicación de dichas políticas y su efectividad, asegurar el cumplimiento de la normativa aplicable en materia de seguridad de redes y sistemas de información, y gestionar los incidentes de ciberseguridad.
Creación del Centro Nacional de Ciberseguridad
En cuanto al régimen de gobernanza, el anteproyecto diseña la Estrategia Nacional de Ciberseguridad y crea el Centro Nacional de Ciberseguridad. Este centro actuará como el órgano de contacto único con la Unión Europea y estará adscrito a la Secretaría General de Presidencia del Gobierno. Su misión será dirigir, impulsar y coordinar las políticas de ciberseguridad, garantizar la cooperación intersectorial y transfronteriza con otras autoridades competentes y actuar como la autoridad de gestión de las crisis de ciberseguridad.
Además, la norma establece una serie de autoridades de control encargadas de la supervisión y ejecución de las políticas de ciberseguridad. Entre ellas se encuentran el Ministerio del Interior, a través de la Oficina de Coordinación de Ciberseguridad de la Secretaría de Estado de Seguridad; el Ministerio de Defensa, a través del Centro Criptológico Nacional del Centro Nacional de Inteligencia; y el Ministerio para la Transformación Digital y de la Función Pública, a través de la Secretaría de Estado de Telecomunicaciones e Infraestructuras Digitales y de Digitalización e Inteligencia Artificial.
Estas autoridades de control tendrán la responsabilidad de verificar el cumplimiento de los estándares, guías, especificaciones e instrucciones técnicas de ciberseguridad en sus respectivos sectores. También deberán comprobar el desempeño del responsable de la seguridad de la información y realizar las inspecciones, pruebas y revisiones necesarias para asegurar el cumplimiento de las medidas de seguridad.
Equipos de respuesta a incidentes de ciberseguridad
El anteproyecto también contempla la creación de equipos de respuesta a incidentes de ciberseguridad. Estos equipos tendrán como misión el seguimiento y análisis de ciberamenazas, vulnerabilidades e incidentes detectados a nivel nacional. Además, prestarán asistencia a las entidades afectadas y responderán a los episodios que comprometan la ciberseguridad. Podrán supervisar en tiempo real las redes y sistemas de información, y difundir alertas, avisos e información sobre ciberamenazas y vulnerabilidades.
Tramitación de urgencia
Finalmente, el Consejo de Ministros ha aprobado el trámite administrativo de urgencia para este anteproyecto, con el fin de que pueda ser aprobado por el Gobierno en una segunda vuelta y pase rápidamente al debate parlamentario. En esta fase, el Ministerio del Interior recabará los informes preceptivos de los ministerios de Defensa, Transformación Digital y de la Función Pública, Hacienda, así como del Departamento de Seguridad Nacional. También se solicitarán criterios a otros departamentos ministeriales, a la Oficina de Coordinación y Calidad Normativa, al Banco de España y a la Agencia Española de Protección de Datos, además del dictamen del Consejo de Estado.
El Ministerio del Interior comunicará de inmediato a la Comisión Europea la aprobación de este anteproyecto, dado que el plazo para la transposición de la Directiva NIS-2 al derecho interno español venció el 17 de octubre de 2024. Esta comunicación es esencial para cumplir con los compromisos europeos y asegurar el alineamiento de las normativas nacionales con los estándares de ciberseguridad establecidos a nivel comunitario. ■