16/01/2025
El pasado 14 de enero de 2025, el Consejo de Ministros aprobó el anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad a propuesta conjunta de los ministerios del Interior, de Defensa y para la Transformación Digital y de la Función Pública. Este texto incorpora al ordenamiento jurídico español la Directiva (UE) 2022/2555, conocida como Directiva NIS 2. Con ello se trata de dar respuesta a la necesidad de transponer las disposiciones de la Directiva tras el vencimiento del plazo establecido, el 17 de octubre de 2024. La Directiva NIS 2 asigna a los Estados miembros la tarea de regular aspectos fundamentales de su articulado, haciéndose indispensable una ley nacional que permita adaptar y armonizar estas disposiciones en España.
La futura ley será de aplicación a entidades públicas y privadas que operen en sectores críticos como energía, transporte, banca, mercados financieros, sanidad, agua, infraestructuras digitales y servicios tecnológicos, entre otros. Además, se extiende a sectores de menor criticidad como servicios postales y de mensajería, gestión de residuos, alimentación, y proveedores de servicios digitales.
Las entidades deberán realizar evaluaciones de riesgos, implementar medidas de seguridad para sus redes y sistemas de información, y notificar incidentes significativos que puedan afectar a su operativa o servicios, incluyendo aquellos que involucren a terceros proveedores. La obligación de comunicar ciberamenazas significativas a los usuarios de sus servicios también es un elemento fundamental de la norma.
El anteproyecto introduce la figura del responsable de la seguridad de la información, encargado de coordinar y supervisar las medidas de protección de las redes y sistemas de información. Este profesional, o equipo especializado en entidades más grandes, tendrá entre sus funciones la elaboración de estrategias y políticas de ciberseguridad, la supervisión de su aplicación y efectividad, y la gestión de incidentes que puedan comprometer la seguridad de los sistemas.
En las entidades esenciales, definidas por su relevancia en sectores críticos, esta figura deberá contar con acreditaciones específicas, que garanticen su capacidad técnica y profesional. Esto refuerza la necesidad de contar con personal cualificado para gestionar los desafíos asociados a la ciberseguridad.
Además, el texto plantea nuevas exigencias en el ámbito de la gobernanza, con la creación del Centro Nacional de Ciberseguridad, un organismo dependiente de la Secretaría General de Presidencia del Gobierno. Este centro no solo será el punto de contacto único con la Unión Europea, sino que también desempeñará un papel central en la coordinación entre sectores y en la gestión de crisis cibernéticas de alcance nacional. Su función será garantizar una respuesta eficiente y organizada ante amenazas transfronterizas y emergencias en el ámbito digital, consolidando un sistema de cooperación entre autoridades nacionales y europeas.
Adicionalmente, las autoridades de control, tendrán un papel activo en la supervisión del cumplimiento de las medidas de ciberseguridad. Entre sus competencias estarán la inspección y verificación de las políticas implementadas por las entidades obligadas, incluyendo la revisión de los procedimientos internos y la efectividad de los sistemas frente a incidentes.
Estas funciones recaerán en tres autoridades principales:
Otro punto de interés del anteproyecto es la creación de equipos de respuesta a incidentes de ciberseguridad o CSIRT como un componente esencial para garantizar la protección frente a ciberamenazas. Estos equipos tendrán la misión de responder de forma inmediata y coordinada ante incidentes que puedan comprometer la seguridad de las redes y sistemas de información, así como de minimizar los riesgos asociados a vulnerabilidades detectadas.
Entre sus funciones principales, los equipos estarán encargados de realizar un seguimiento constante y análisis detallado de ciberamenazas, vulnerabilidades e incidentes detectados.
Además, tendrán un papel crucial en la difusión de alertas tempranas y avisos, con el objetivo de prevenir incidentes o minimizar su impacto. Al notificar tanto a las entidades como a los usuarios afectados sobre ciberamenazas significativas, los equipos contribuirán a fortalecer la resiliencia de las organizaciones frente a posibles ataques, fomentando una cultura de prevención en el ámbito digital.
Para acelerar su implementación, el Gobierno ha decidido tramitar este anteproyecto por la vía de urgencia, lo que implica una reducción significativa de los plazos habituales en el proceso legislativo. Según el artículo 93 del Reglamento del Congreso de los Diputados, a petición, entre otros, del Gobierno, la Mesa del Congreso puede acordar que un asunto se tramite por procedimiento de urgencia. Este procedimiento reduce a la mitad los plazos establecidos para el trámite ordinario, salvo los relativos a la presentación de solicitudes y recursos.
Como expusimos antes, la tramitación urgente se justifica por la necesidad de incorporar al ordenamiento jurídico español la Directiva NIS 2, cuyo plazo de transposición venció el 17 de octubre de 2024.
Como próximos pasos, el anteproyecto será remitido al Congreso de los Diputados, donde se iniciará su debate parlamentario.
Es importante destacar que, aunque la tramitación de urgencia reduce los plazos, no garantiza una aprobación inmediata, ya que el proceso legislativo implica múltiples etapas y la participación de diversos actores institucionales. No obstante, esta vía busca agilizar la entrada en vigor de la ley para responder eficazmente a las necesidades de trasposición.
Desde EJASO seguiremos de cerca esta normativa para identificar como afecta la transposición a las obligaciones de la Directiva NIS 2. Entendemos que la adaptación a este tipo de normativas puede ser un desafío, y por ello acompañamos a las empresas en todo el proceso, ayudándolas a identificar sus necesidades, a implementar soluciones prácticas y a garantizar un cumplimiento efectivo y sostenible en el tiempo.
España & Portugal
