El Consejo de Ministros ha dado luz verde este martes al anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad, a propuesta de los ministerios del Interior, Defensa y para la Transformación Digital y de la Función Pública. La norma transpondrá al ordenamiento jurídico español la Directiva europea NIS2.
Elaborado por la Secretaría de Estado de Seguridad, el anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad pretende reforzar la protección de las redes y sistemas de información, que son cruciales para el desarrollo de la mayoría de las actividades sociales y económicas actuales y que están sometidas a ciberamenazas, desafíos y riesgos que requieren respuestas adaptadas, coordinadas e innovadoras.
La norma afecta a entidades con actividad en España
Esta norma determina que las entidades públicas o privadas afectadas son aquellas que tienen su residencia fiscal en España o que, teniendo su residencia en otro Estado miembro de la Unión Europea, ofrecen sus servicios o desarrollan su actividad en el país.
Estas entidades deberán estar encuadradas en sectores críticos, como energía, transporte, banca y mercados financieros, sector sanitario, agua, infraestructuras digitales y servicios tecnológicos, entidades de la administración pública o industria nuclear.
Otros sectores de menor criticidad recogidos son los servicios postales y de mensajería, gestión de residuos, fabricación, producción y distribución de sustancias y mezclas químicas; producción, transformación y distribución de alimentos; proveedores de servicios digitales, investigación científica y seguridad privada.
Estas entidades deberán realizar una evaluación individualizada de su riesgo y poner en marcha una serie de actuaciones a fin de garantizar y elevar los niveles de seguridad de sus redes y sistemas de información y prevenir el riesgo de incidentes. Asimismo, están obligadas a notificar los incidentes significativos en su operativa o prestación de servicios propios y externos, así como a comunicar a los destinatarios de sus servicios cualquier ciberamenaza que les pueda afectar y las medidas o soluciones que pueden aplicar.
Responsable de la seguridad de la información
El anteproyecto recoge la figura del responsable de la seguridad de la información como persona u órgano designado por las entidades encargado de las funciones de punto de contacto y de coordinación técnica. En las entidades más relevantes en función de su tamaño, este responsable deberá obtener la condición de personal acreditado.
Este perfil se encargará de elaborar y someter a la aprobación de la organización la estrategia y políticas de ciberseguridad, de supervisar y desarrollar su aplicación y efectividad, el cumplimiento de la normativa aplicable en materia de seguridad de las redes y sistemas de información, y de gestionar los incidentes de ciberseguridad.
Centro Nacional de Ciberseguridad
En lo referente al régimen de gobernanza, el anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad contempla la Estrategia Nacional de Ciberseguridad y crea el Centro Nacional de Ciberseguridad. Se trata del órgano de contacto único con la UE adscrito a la Secretaría General de Presidencia del Gobierno, encargado de la dirección, impulso y coordinación en la materia, de garantizar la cooperación intersectorial y transfronteriza con otras autoridades competentes, y de la gestión de las crisis de ciberseguridad.
Igualmente, la norma dispone una serie de autoridades de control encargadas de las funciones de supervisión y ejecución: el Ministerio del Interior, a través de la Oficina de Coordinación de Ciberseguridad de la Secretaría de Estado de Seguridad; el Ministerio de Defensa, a través del Centro Criptológico Nacional del Centro Nacional de Inteligencia; y el Ministerio para la Transformación Digital, a través de la Secretaría de Estado de Telecomunicaciones e Infraestructuras Digitales y de Digitalización e Inteligencia Artificial.
Su función es verificar en sus sectores el cumplimiento de los estándares, guías, especificaciones e instrucciones técnicas de ciberseguridad y las funciones del responsable de la seguridad de la información, además de realizar comprobaciones, inspecciones, pruebas y revisiones necesarias de las medidas de seguridad.
Adicionalmente, el anteproyecto señala una serie de equipos de respuesta a incidentes de ciberseguridad de entidad. Entre sus cometidos, figuran el seguimiento y análisis de las ciberamenazas, vulnerabilidades e incidentes que se detecten a escala nacional; prestar asistencia a las entidades afectadas y responder a los episodios que afecten a la ciberseguridad. También podrán supervisar en tiempo real las redes y sistemas de información de estas entidades, y difundir alertas tempranas, avisos e información sobre las ciberamenazas y las vulnerabilidades detectadas.
El Consejo de Ministros ha autorizado dar trámite administrativo de urgencia al anteproyecto para que pueda ser aprobado lo antes posible. Una vez aprobada de manera definitiva, la futura ley incorporará al ordenamiento jurídico español la Directiva europea NIS2 sobre ciberseguridad.