Cibersur.com | 17/01/2025 10:41
El Consejo de Ministros ha aprobado este martes el anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad a propuesta conjunta de los ministerios del Interior, de Defensa y para la Transformación Digital y de la Función Pública.
El objetivo último de esta norma, elaborada por la Secretaría de Estado de Seguridad, es reforzar la protección de las redes y sistemas de información que son ya cruciales para el desarrollo de la inmensa mayoría de las actividades sociales y económicas actuales, y que están sometidas a graves ciberamenazas, nuevos desafíos y riesgos que requieren respuestas adaptadas, coordinadas e innovadoras.
Cuando sea aprobada de manera definitiva, la futura ley incorporará al ordenamiento jurídico español la Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, conocida como NIS-2, que incluye una serie de medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión Europea.
El anteproyecto aprobado este martes precisa que las entidades públicas o privadas afectadas por esta norma son aquellas que tengan su residencia fiscal en España o, que, teniendo su residencia en otro Estado de la Unión Europea, ofrezcan sus servicios o desarrollen su actividad en nuestro país.
Además, estas entidades deberán estar encuadradas en sectores considerados de alta criticidad para el normal funcionamiento de la vida social y económica del país, como la energía, el transporte, banca y mercados financieros, sector sanitario, agua, infraestructuras digitales y servicios tecnológicos, entidades de la administración pública e industria nuclear.
Otros sectores de menor criticidad recogidos en el anteproyecto son los servicios postales y de mensajería; la gestión de residuos; la fabricación, producción y distribución de sustancias y mezclas químicas; la producción, transformación y distribución de alimentos; los proveedores de servicios digitales; la investigación científica, y la seguridad privada.
Estas entidades deberán realizar una evaluación individualizada de su riesgo y poner en marcha una serie de actuaciones para garantizar y elevar los niveles de seguridad de sus redes y sistemas de información y prevenir el riesgo de incidentes.
Además, están obligadas a notificar los incidentes significativos que se produzcan en su operativa o en la prestación de sus servicios, tanto si son redes y servicios propios como si pertenecen a proveedores externos, así como a comunicar a la mayor brevedad a los destinatarios de sus servicios, ya sean personas físicas o jurídicas, cualquier ciberamenaza significativa que les pueda afectar, así como las medidas o soluciones que pueden aplicar como respuesta.
El anteproyecto diseña la figura del responsable de la seguridad de la información como persona u órgano designado por las entidades encargado de las funciones de punto de contacto y de coordinación técnica. En las entidades esenciales (las más relevantes en función de su tamaño) el responsable de la seguridad de la información deberá obtener la condición de personal acreditado.
En concreto, el responsable de la seguridad de la información se encargará de elaborar y someter a la aprobación de la organización la estrategia y políticas de ciberseguridad; supervisar y desarrollar la aplicación de dichas políticas y su efectividad; supervisar el cumplimiento de la normativa aplicable en materia de seguridad de las redes y sistemas de información, y gestionar los incidentes de ciberseguridad.
Centro Nacional de Ciberseguridad
El anteproyecto, por lo que al régimen de gobernanza se refiere, diseña la Estrategia Nacional de Ciberseguridad y crea el Centro Nacional de Ciberseguridad, órgano de contacto único con la Unión Europea adscrito a la Secretaría General de Presidencia del Gobierno que se encargará de la dirección, impulso y coordinación en la materia, garantizará la cooperación intersectorial y transfronteriza con otras autoridades competentes y será autoridad de gestión de las crisis de ciberseguridad.
Además, la norma pone en pie una serie de autoridades de control encargadas de las funciones de supervisión y ejecución:
el Ministerio del Interior, a través de la Oficina de Coordinación de Ciberseguridad de la Secretaría de Estado de Seguridad,
el Ministerio de Defensa, a través del Centro Criptológico Nacional del Centro Nacional de Inteligencia,
y el Ministerio para la Transformación Digital y de la Función Pública, a través de la Secretaría de Estado de Telecomunicaciones e Infraestructuras Digitales y de Digitalización e Inteligencia Artificial.
La función de estas autoridades de control es verificar en sus sectores el cumplimiento de los estándares, guías, especificaciones e instrucciones técnicas de ciberseguridad; comprobar el cumplimiento de las funciones del responsable de la seguridad de la información y realizar las comprobaciones, inspecciones, pruebas y revisiones necesarias para comprobar las medidas de seguridad.
Además, el anteproyecto señala una serie de equipos de respuesta a incidentes de ciberseguridad de entidad entre cuyos cometidos destacan el seguimiento y análisis de las ciberamenazas, las vulnerabilidades y los incidentes que se detecten a escala nacional, así como prestar asistencia, si así lo solicitan, a las entidades afectadas y responder así a los episodios que afecten a la ciberseguridad.
Estos equipos podrán también supervisar en tiempo real o inmediato las redes y sistemas de información de estas entidades, así como difundir alertas tempranas, avisos e información sobre las ciberamenazas y las vulnerabilidades detectadas.
Tramitación urgente
El Consejo de Ministros también ha aprobado este martes dar trámite administrativo de urgencia al anteproyecto, para que pueda ser aprobado por el Gobierno, en segunda vuelta, cuanto antes y dar de inmediato paso a su debate parlamentario.
En esta fase, Interior recabará los informes preceptivos de los ministerios de Defensa; para la Transformación Digital y de la Función Pública, y de Hacienda, así como del Departamento de Seguridad Nacional.
También se solicitará criterio a otros ocho departamentos ministeriales, así como a la Oficina de Coordinación y Calidad Normativa, el Banco de España y la Agencia Española de Protección de Datos, junto al preceptivo dictamen del Consejo de Estado.
Interior va a comunicar de inmediato la aprobación de este anteproyecto a la Comisión Europea, dado que el plazo para la trasposición de la Directiva NIS-2 al derecho interno español venció el 17 de octubre de 2024.