El Gobierno aprueba el anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad

Antecedentes

El 16 de enero de 2023, entró en vigor la Directiva (UE) 2022/2555 conocida como NIS-2 relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión Europea que modificó el reglamento relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior.

A continuación, incluimos, a modo resumen, las principales novedades introducidas por la Normativa NIS-2:

• Ámbito de aplicación. La Directiva amplía significativamente su alcance mediante la identificación de nuevos sectores considerados de "Alta Criticidad" o "Críticos". Asimismo, se amplía el ámbito de aplicación a pequeñas y microempresas que ofrezcan sus servicios en la infraestructura digital.

• Medidas de ciberseguridad. Por otro lado, se establece un conjunto de medidas técnicas, operativas y organizativas que deben implementarse de manera adecuada y proporcional para gestionar los riesgos de ciberseguridad (entre otras: políticas de seguridad, análisis de riesgos, gestión de incidentes, seguridad en la cadena de suministro, políticas de evaluación periódica etc.)

• Notificación de incidentes. Obligación de información inmediata sobre cualquier incidente con un ¨impacto significativo¨ o que afecte a servicios esenciales.

• Régimen sancionador. La Directive endurece las sanciones en caso de incumplimiento de las obligaciones impuestas por la normativa.

Transposición al ordenamiento jurídico español

El 14 de enero de 2025, El Consejo de Ministros aprobó, casi tres meses después de la fecha límite impuesta por la Unión Europea (17 de octubre de 2024), el anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad que transpone dicha Directiva al ordenamiento jurídico español.

La norma afecta tanto a entidades públicas como privadas con residencia fiscal en España o que operen en el país desde otro Estado Miembro.

Los sectores más críticos incluyen energía, transporte, banca y mercados financieros, sanitario, agua, infraestructuras digitales y servicios tecnológicos, entidades de la administración pública e industria nuclear.

También se incluyen sectores de menor criticidad como servicios postales y de mensajería, la gestión de residuos, la producción, transformación y distribución de alimentos; los proveedores de servicios digitales; la investigación científica y la seguridad privada.

Las entidades afectadas deberán evaluar su riesgo, mejorar la seguridad de sus sistemas y notificar incidentes significativos, informando también a los destinatarios de sus servicios sobre ciberamenazas relevantes.

Además, se designará un responsable de la seguridad de la información, quien deberá elaborar estrategias y políticas de ciberseguridad, supervisar su aplicación y gestionar incidentes. En entidades esenciales, este responsable deberá ser acreditado.

Este marco busca fortalecer la protección frente a ciberamenazas y garantizar la continuidad de los servicios críticos.

El anteproyecto también establece la Estrategia Nacional de Ciberseguridad y crea el Centro Nacional de Ciberseguridad, que actuará como el punto de contacto único con la Unión Europea. Además, se designan las autoridades de control encargadas de las funciones de supervisión y ejecución según el sector:

• El Ministerio del Interior, a través de la Oficina de Coordinación de Ciberseguridad de la Secretaría de Estado de Seguridad.

• El Ministerio de Defensa, a través del Centro Criptológico Nacional del Centro Nacional de Inteligencia.

• El Ministerio para la Transformación Digital y de la Función Pública, a través de la Secretaría de Estado de Telecomunicaciones e Infraestructuras Digitales y de Digitalización e Inteligencia Artificial.

Próximos pasos

Dado el retraso en la transposición de la Directiva, el anteproyecto se tramitará por el procedimiento de urgencia y recabará los informes preceptivos de distintos organismos y el dictamen del Consejo de Estado antes de que el Consejo de Ministros apruebe su remisión a las Cortes para su debate parlamentario.

Asimismo, a más tardar el 17 de abril de 2025, los Estados miembros deben elaborar una lista de las entidades esenciales e importantes, así como de las entidades que prestan servicios de registro de nombres de dominio. Este listado será revisado, como mínimo, cada dos años.