Índice de temas
Nueva Ley de Ciberseguridad
El Consejo de Ministros ha dado un paso adelante en materia de digitalización con la aprobación del Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad, una medida clave para reforzar la protección de las redes y sistemas de la información, consideradas cruciales para el desarrollo de nuestras actividades sociales y económicas.
Impulsada por los Ministerios del Interior, de Defensa y para la Transformación Digital y de la Función Pública, la norma, a la que todavía le queda un largo camino hasta llegar a las Cortes Generales, busca proteger infraestructuras estratégicas ante ciberamenazas y traspone la Directiva NIS2. Este es un compromiso europeo al que España llega con retraso, ya que el plazo para su trasposición vencía en octubre de 2024.
¿Qué es la Directiva NIS2?
La Directiva 2022/2555, de medidas destinadas a garantizar un elevado común de ciberseguridad, conocida como NIS2, sustituye a la de 2016 y refuerza los requisitos de la UE para elevar el nivel de exigencia del marco común de protección de las redes y sistemas de información. Esta norma incluye:
- Ampliación de sectores críticos como el sanitario, la gestión de residuos o la administración pública, además de los ya incluídos en NIS1.
- Plazos más estrictos para la notificación de incidencias.
- Sanciones más severas, que podrán alcanzar los 10 millones de euros o el 2% de la facturación global.
Obligaciones que incluirá la futura Ley de Coordinación y Gobernanza de la Ciberseguridad
Una vez que se apruebe la Ley, las entidades de alta criticidad deberán realizar una evaluación individualizada de su ciberriesgo y poner en marcha las actuaciones necesarias para elevar los niveles de ciberseguridad de sus sistemas. Además, notificarán a las autoridades de control y a los destinatarios de sus servicios los incidentes significativos que afecten a sus operaciones.
La transposición de la Directiva incorpora también la figura del responsable de la Seguridad de la Información para la coordinación técnica de las políticas de ciberseguridad. En el caso de las organizaciones más relevantes por su tamaño, este cargo deberá ejercerlo personal acreditado y con conocimientos especializados.
Centro Nacional de Ciberseguridad
La norma prevé la creación del Centro Nacional de Ciberseguridad, adscrito a la Secretaría General de Presidencia del Gobierno, como órgano encargado de la coordinación en esta materia y como autoridad de gestión de las crisis de ciberseguridad. También verificará el cumplimiento de los estándares y especificaciones técnicas de ciberseguridad en los sectores estratégicos y realizará las inspecciones para asegurar que las empresas afectadas aplican correctamente las medidas en materia de ciberseguridad.
Al frente de estas labores estará una autoridad de control conformada por la Oficina de Coordinación de Ciberseguridad (Interior), el Centro Criptológico Nacional (Defensa) y las Secretarías de Estado de Digitalización e Inteligencia Artificial y de Telecomunicaciones e Infraestructuras Digitales (Transformación Digital).
¿A quién va dirigida esta nueva Ley?
Una vez aprobada, la Ley aplicará tanto a entidades públicas como privadas, siempre que tengan su residencia fiscal en España o que, aun estando domiciliadas en otro Estado de la UE, operen en el territorio español.
Asimismo, abarca sectores de alta criticidad, como energía, transporte, banca y servicios financieros, sanidad, agua, infraestructuras digitales y servicios tecnológicos, administración pública e industria nuclear, y otros sectores de menor criticidad (gestión de residuos, servicios postales, fabricación y distribución de productos químicos, alimentación, investigación científica o proveedores de servicios digitales), siempre que su actividad sea considerada esencial para el funcionamiento socioeconómico del país.
Conclusiones: un paso necesario para que la UE de una respuesta conjunta a las ciberamenazas
Según Kaspersky, el 74% de las empresas españolas han sufrido un ciberataque en los últimos dos años, lo que confirma la necesidad de proteger los sectores críticos. Aunque la adopción de estas exigencias suponga un coste a corto plazo, a largo supondrá un ahorro de recursos, en la medida en que evitará el pago de “rescates” a ciberdelincuentes, una práctica muy extendida en la actualidad ante estas situaciones de vulnerabilidad.
La aprobación del APL de Coordinación y Gobernanza de la Ciberseguridad supone un paso clave para que España cumpla con el objetivo europeo de dar una respuesta armonizada a las ciberamenazas y reforzar la ciberresiliencia de entidades públicas y privadas.
