El Consejo de Ministros ha dado luz verde al anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad , una norma que busca reforzar la protección de las infraestructuras críticas de España frente a crecientes ciberamenazas.
Esta iniciativa, elaborada por los ministerios del Interior, Defensa y Transformación Digital y de la Función Pública, transpone la Directiva 2022/2555 del Parlamento Europeo y del Consejo (NIS-2), destinada a garantizar un nivel uniforme de ciberseguridad en toda la Unión Europea.
Una ley para afrontar riesgos crecientes
El anteproyecto tiene como objetivo fortalecer la resiliencia de las redes y sistemas de información esenciales para el funcionamiento de sectores críticos como la energía, transporte, banca, infraestructuras digitales y administración pública. La norma establece obligaciones específicas para las entidades públicas y privadas que operen en España o brinden servicios en el país, siempre que pertenezcan a sectores considerados esenciales o estratégicos.
Entre las medidas clave, las organizaciones deberán realizar evaluaciones de riesgo personalizadas y adoptar estrategias para elevar los niveles de seguridad en sus sistemas. Asimismo, estarán obligadas a notificar incidentes significativos y comunicar ciberamenazas relevantes tanto a las autoridades competentes como a los destinatarios de sus servicios.
Creación del Centro Nacional de Ciberseguridad
El anteproyecto contempla la creación del Centro Nacional de Ciberseguridad (CNC), adscrito a la Secretaría General de la Presidencia del Gobierno. Este organismo tendrá un papel central en la dirección y coordinación de la ciberseguridad a nivel nacional, además de actuar como punto único de contacto con la Unión Europea. Su labor incluirá la gestión de crisis derivadas de incidentes de ciberseguridad y la promoción de la cooperación intersectorial y transfronteriza.
Junto al CNC, la norma asigna responsabilidades a diversas autoridades de control sectoriales:
- Ministerio del Interior: A través de la Oficina de Coordinación de Ciberseguridad.
- Ministerio de Defensa: A través del Centro Criptológico Nacional.
- Ministerio de Transformación Digital: A través de las Secretarías de Estado de Telecomunicaciones e Infraestructuras Digitales y de Digitalización e Inteligencia Artificial.
Estas entidades supervisarán el cumplimiento de las normativas, realizarán inspecciones y ofrecerán asistencia técnica ante incidentes.
Sectores estratégicos y obligaciones específicas
El ámbito de aplicación de la ley abarca tanto sectores esenciales como otros considerados de menor criticidad, como servicios postales, gestión de residuos, producción alimentaria o seguridad privada. En todos los casos, las entidades deberán designar un responsable de la seguridad de la información, quien será el encargado de coordinar las políticas de ciberseguridad y responder a posibles incidentes.
Además, la normativa exige la supervisión en tiempo real de las redes críticas y la difusión de alertas tempranas para prevenir incidentes de impacto significativo.
Tramitación urgente para cumplir plazos europeos
La aprobación del anteproyecto incluye una tramitación administrativa urgente con el fin de acelerar su paso por el Gobierno y el Parlamento. Esto responde a la necesidad de incorporar la Directiva NIS-2 al derecho español, dado que el plazo estipulado por la Unión Europea venció el pasado 17 de octubre de 2024.
El Ministerio del Interior ya ha iniciado los trámites para recabar los informes necesarios de otros ministerios y organismos, como el Banco de España y la Agencia Española de Protección de Datos, además del dictamen del Consejo de Estado. La Comisión Europea será notificada de inmediato sobre el avance en la transposición de la directiva.
Un paso adelante en la ciberseguridad nacional
La aprobación definitiva de esta ley supondrá un refuerzo significativo para la seguridad de las infraestructuras críticas en España, alineándolas con los estándares europeos. Con la ciberseguridad como prioridad estratégica, el Gobierno busca mitigar los riesgos derivados de un entorno digital cada vez más complejo y garantizar la protección de los servicios esenciales para la sociedad y la economía.
