- La norma, que transpone la Directiva Europea NIS-2, busca reforzar la seguridad de redes y sistemas de información en España frente a ciberamenazas.
- Se creará el Centro Nacional de Ciberseguridad, encargado de la coordinación y gestión de crisis en esta materia.
- Las entidades de sectores críticos deberán notificar incidentes y adoptar medidas de seguridad obligatorias.
- La tramitación de la ley se realizará con carácter de urgencia para su aprobación definitiva.
El Consejo de Ministros ha aprobado el anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad, diseñado para fortalecer la protección de las redes y sistemas de información esenciales para la vida social y económica de España. Esta iniciativa transpone al derecho español la Directiva Europea NIS-2 (2022/2555), cuyo objetivo es establecer un elevado nivel común de ciberseguridad en toda la Unión Europea.
Sectores afectados
La norma identifica como prioritarias a las entidades públicas y privadas que operen en sectores críticos como energía, transporte, banca, mercados financieros, sanidad, agua, industria nuclear, infraestructuras digitales y administración pública. También incluye sectores de menor criticidad, como servicios postales, gestión de residuos, producción alimentaria y proveedores digitales.
Las entidades deberán:
- Realizar evaluaciones de riesgo individuales.
- Implementar medidas para prevenir incidentes de ciberseguridad.
- Notificar los incidentes significativos a las autoridades y a sus clientes sin demora indebida.
Figura del responsable de seguridad
El anteproyecto introduce la figura del responsable de la seguridad de la información, encargado de desarrollar estrategias de ciberseguridad, supervisar su implementación, garantizar el cumplimiento normativo y gestionar los incidentes. En entidades esenciales, este rol deberá ser asumido por personal acreditado.
Creación del Centro Nacional de Ciberseguridad
El anteproyecto contempla la creación del Centro Nacional de Ciberseguridad, adscrito a la Secretaría General de Presidencia del Gobierno. Este centro será el punto de contacto único con la Unión Europea, además de:
- Coordinar acciones en caso de crisis de ciberseguridad.
- Fomentar la cooperación entre sectores y con otros países de la UE.
- Supervisar la implementación de las estrategias nacionales de ciberseguridad.
Supervisión y control
Las funciones de supervisión se dividirán entre los ministerios de Interior, Defensa y Transformación Digital, a través de organismos especializados como la Oficina de Coordinación de Ciberseguridad, el Centro Criptológico Nacional y la Secretaría de Estado de Digitalización e Inteligencia Artificial. Estas autoridades verificarán el cumplimiento de estándares técnicos y podrán realizar inspecciones, pruebas y revisiones.
Equipos de respuesta a incidentes
La norma establece la creación de equipos especializados para el análisis y seguimiento de ciberamenazas y vulnerabilidades a nivel nacional. Estos equipos estarán capacitados para:
- Supervisar redes en tiempo real.
- Emitir alertas tempranas.
- Asistir a entidades afectadas por incidentes de ciberseguridad.
Tramitación urgente
El Consejo de Ministros ha aprobado el trámite de urgencia para que el anteproyecto avance rápidamente en su debate parlamentario. Interior ya ha notificado la aprobación a la Comisión Europea, dado que el plazo para trasponer la Directiva NIS-2 al derecho interno venció en octubre de 2024.
Con esta ley, España busca adaptarse a los retos de la era digital, estableciendo un marco sólido de coordinación y gobernanza en ciberseguridad que proteja sus infraestructuras críticas y refuerce la confianza en los sistemas tecnológicos.
