Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad

Ámbito de Aplicación

La ley afectará a entidades públicas y privadas con residencia fiscal en España o que operen en el país desde otro Estado miembro de la UE. Los sectores de alta criticidad incluyen, además de los previstos en la Directiva NIS-2 (energía; transporte; banca y mercados financieros; sanitario; agua; infraestructuras digitales y servicios tecnológicos; entidades de la administración pública), las entidades de la industria nuclear.

Asimismo, se incorpora al sector de seguridad privada en los sectores de menor criticidad (servicios postales y de mensajería; la gestión de residuos; la producción, transformación y distribución de alimentos; los proveedores de servicios digitales; la investigación científica), lo que implica modificaciones normativas en la regulación de dicho sector.

El Anteproyecto excluye a las entidades financieras cubiertas por el Reglamento DORA[1] en cuanto a la gestión de riesgos de ciberseguridad y las obligaciones de notificación, así como en materia sancionadora.

El Centro Nacional de Ciberseguridad será responsable de elaborar el listado de las entidades consideradas esenciales e importantes, que deberá estar disponible antes del 17 de abril de 2025. Además, mediante normativa reglamentaria, se podrán establecer mecanismos para que las entidades se registren de manera autónoma.

Creación del Centro Nacional de Ciberseguridad

El Anteproyecto crea el Centro Nacional de Ciberseguridad como la entidad encargada de  coordinar las actividades para garantizar un alto nivel de ciberseguridad en España, actuando también como punto de contacto con la UE. Asimismo, se designan diversas autoridades de control para supervisar y ejecutar las disposiciones en función de los sectores:

• El Ministerio de Defensa, a través del Centro Criptológico Nacional del Centro Nacional de Inteligencia para las entidades esenciales e importantes no consideradas críticas.

• El Ministerio para la Transformación Digital y de la Función Pública, a través de la Secretaría de Estado de Telecomunicaciones e Infraestructuras Digitales y de Digitalización e Inteligencia Artificial para las entidades esenciales e importantes de los sectores de Infraestructura digital y Proveedores de servicios digitales, así como de las entidades importantes del resto de sectores, que no se hayan designado como entidades críticas.

• El Ministerio del Interior, a través de la Oficina de Coordinación de Ciberseguridad de la Secretaría de Estado de Seguridad para las entidades críticas y todas las entidades del sector de seguridad privada.

Además, se incluyen equipos especializados en la identificación y tratamiento de incidentes, encargados de detectar vulnerabilidades, asistir a las organizaciones afectadas y difundir alertas tempranas.

Estrategia Nacional de Ciberseguridad

El Centro Nacional de Ciberseguridad elaborará la Estrategia Nacional de Ciberseguridad, que establecerá los objetivos estratégicos y las medidas necesarias para mantener un nivel elevado de ciberseguridad. La estrategia será notificada a la Comisión Europea en un plazo de tres meses tras su adopción.

Obligaciones para las Entidades, ¿Cómo adecuarse a la normativa?

• Adopción de medidas técnicas, operativas y organizativas

Las entidades deberán adoptar medidas técnicas, operativas y organizativas proporcionadas para gestionar los riesgos de ciberseguridad, que incluirán políticas de seguridad, gestión de incidentes, continuidad de actividades, seguridad de la cadena de suministro, y medidas de ciberhigiene, entre otras.

Las entidades esenciales deberán evidenciar el cumplimiento de dichas medidas mediante la obtención y mantenimiento de una certificación de conformidad acreditada. Por el contrario, las entidades importantes podrán optar por obtener dicha certificación o realizar una autoevaluación de su postura en cuanto a seguridad.

De igual manera, el cumplimiento con el Esquema Nacional de Seguridad acreditará la adopción de las medidas pertinentes.

• Designación del responsable de la seguridad de la información

Además, el Anteproyecto establece la obligación de designar a un responsable de la seguridad de la información, quien tendrá la responsabilidad de elaborar estrategias y políticas de ciberseguridad, supervisar su implementación, gestionar incidentes, garantizar el cumplimiento de los criterios de seguridad establecidos por proveedores externos y actuar como punto de contacto con las autoridades de control. Además, en las entidades esenciales, este responsable deberá estar acreditado por el Ministerio del Interior.

• Responsabilidad de los órganos de dirección

Por otro lado, los órganos de dirección de las entidades serán responsables de la implementación de las medidas de seguridad, de supervisar su efectividad y, en su caso, asumirán la responsabilidad por su incumplimiento.

Asimismo, los miembros de los órganos de dirección deberán recibir formación periódica adecuada para adquirir los conocimientos y habilidades necesarios que les permitan identificar riesgos y evaluar las prácticas de gestión de riesgos de ciberseguridad, así como su impacto en los servicios que la entidad proporciona. Además, se organizarán formaciones periódicas similares para los empleados.

• Notificación de incidentes

En cuanto a los incidentes, las entidades deberán notificar sin demora injustificada a la autoridad de control cualquier incidente significativo ocurrido en su operativa o en la prestación de sus servicios, conforme a lo determinado reglamentariamente, en función de su peligrosidad e impacto. Asimismo, notificarán a los destinatarios de los servicios afectados, en el menor plazo posible, los incidentes significativos que puedan causarles perjuicios importantes.

Estas notificaciones deberán realizarse preferiblemente a través del responsable de la seguridad de la información y por medio de la Plataforma Nacional de Notificación y Seguimiento de Ciberincidentes.

Régimen Sancionador

El Anteproyecto establece un régimen sancionador que responsabiliza solidariamente a los miembros de los órganos de dirección de las entidades por las infracciones cometidas.

Las infracciones se clasifican como muy graves, graves o leves, y las sanciones pueden oscilar desde multas de 10.000 hasta 10 millones de euros, dependiendo de la gravedad de la infracción.

Próximos Pasos

El Anteproyecto se tramitará con carácter de urgencia, tras recabar los informes preceptivos de diversos organismos y el dictamen del Consejo de Estado. Una vez aprobado, el texto final de la ley entrará en vigor al día siguiente de su publicación en el BOE incorporado al derecho español la Directiva NIS-2.

Además, el Gobierno tendrá un plazo de doce meses para aprobar un real decreto que determine la estructura del Centro Nacional de Ciberseguridad.