Victoria Bujalance.
Directora Legal y de Cumplimiento, ALTER TECHNOLOGY TÜV NORD SAU
I. Introducción
El Consejo de Ministros aprobó el 14 de enero de 2025 el Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad (en adelante «el Anteproyecto») a propuesta conjunta de los ministerios del Interior, de Defensa y para la Transformación Digital y de la Función Pública. En este artículo vamos a desarrollar lo que supone la transposición a la jurisdicción española de la Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo de 14 de diciembre de 2022 relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión, por la que se modifican el Reglamento (UE) n.o 910/2014 y la Directiva (UE) 2018/1972 y por la que se deroga la Directiva (UE) 2016/1148 (Directiva SRI 2) - conocida como Directiva NIS-2, mediante el Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad.
Los Estados miembros tenían hasta el 17 de octubre de 2024 para transponer la Directiva NIS-2 al ordenamiento jurídico. En España, hemos estado al borde de una sanción y es cierto que aún no tenemos una norma en vigor que transponga la Directiva NIS-2, pero sí que contamos con esta propuesta legislativa que tiene como objetivo establecer un marco normativo para mejorar la seguridad en el entorno digital en el país. No obstante, se comunicó a la Comisión Europea que el Consejo de Ministros aprobó dar trámite administrativo de urgencia al Anteproyecto, para que pueda ser aprobado por el Gobierno, en segunda vuelta, cuanto antes y dar de inmediato paso a su debate parlamentario.
El Anteproyecto busca crear una estructura organizada para gestionar o coordinar los esfuerzos relacionados con la ciberseguridad, abarcando tanto a actores el sector público como privado. Todo ello en un contexto donde las amenazas cibernéticas son cada vez más complejas y frecuentes, este anteproyecto se propone responder de manera efectiva a los retos derivados de la digitalización y las vulnerabilidades tecnológicas. Además, tiene como objetivo establecer una estructura coherente y eficiente para gestionar la ciberseguridad a nivel nacional, garantizando la protección de los sistemas digitales, la infraestructura crítica y los datos personales frente a amenazas cada vez más complejas en un mundo cada vez más interconectado.
II. Contexto y Justificación
En los últimos años, la ciberseguridad ha adquirido una relevancia sin precedentes debido al incremento de ciberataques, cibercriminalidad, y otras amenazas tecnológicas que pueden comprometer la integridad de los sistemas informáticos, las infraestructuras esenciales y la privacidad de los ciudadanos. La digitalización de los servicios y el creciente uso de tecnologías avanzadas en diversas áreas de la vida diaria han ampliado las posibilidades de vulnerabilidad.
La transposición de la Directiva NIS-2 al derecho español supone una adaptación y modificación de la legislación española para cumplir con los requisitos establecidos por esta directiva europea. La Directiva NIS-2 busca reforzar la ciberseguridad en la Unión Europea, ampliando las obligaciones a un mayor número de sectores y entidades, así como mejorar la cooperación y la respuesta ante incidentes de ciberseguridad.
En el contexto español, la transposición de la Directiva NIS-2 se materializa principalmente en la modificación de la Ley 8/2011, de 28 de abril , sobre seguridad de las redes y sistemas de información (la Ley NIS original), y la introducción de nuevas regulaciones y medidas más estrictas en varios ámbitos, como los siguientes:
· Ampliación del ámbito de aplicación al número de entidades y sectores sujetos a las obligaciones de seguridad cibernética.
· Gestión de riesgos y políticas de seguridad más estrictos.
· Notificación de incidentes de ciberseguridad significativos dentro de un plazo de 24 horas.
· Fortalecimiento de la cooperación entre los Estados miembros de la UE y las autoridades nacionales.
· Sanciones más estrictas por el incumplimiento de las normativas de ciberseguridad.
III. Principales Objetivos
De conformidad con el Anteproyecto sus objetivos principales son los que siguen:
· a) Establecer una política nacional de ciberseguridad: El Anteproyecto busca articular una política coherente que guíe la acción pública y privada en materia de protección cibernética, alineando los esfuerzos en defensa de la seguridad digital.
· b) Fortalecer la coordinación entre actores: Dado que la ciberseguridad es una responsabilidad compartida entre el sector público, privado y la sociedad civil, el Anteproyecto establece una estructura de gobernanza que favorezca la colaboración y la acción conjunta frente a incidentes cibernéticos.
· c) Crear instituciones especializadas: Una de las propuestas más destacadas es la creación de un organismo nacional encargado de la supervisión, coordinación y resolución de incidentes relacionados con la ciberseguridad. Este órgano se encargaría también de promover la
capacitación y actualización constante de las políticas en materia de ciberseguridad.
· d) Garantizar la protección de infraestructuras críticas: Especial atención se presta en el Anteproyecto a la protección de los sectores más vulnerables a recibir ataques cibernéticos, como los servicios de salud, la energía, las telecomunicaciones, el transporte y la banca.
· e) Fomentar la cooperación internacional: La naturaleza transnacional de las amenazas cibernéticas obliga a la cooperación entre países. El Anteproyecto contempla mecanismos para la colaboración europea e internacional, compartiendo información y asistiendo mutuamente con respecto a la gestión de incidentes cibernéticos.
· f) Impulsar la educación y concienciación: Uno de los objetivos fundamentales del Anteproyecto es la sensibilización de la ciudadanía sobre los riesgos cibernéticos, así como la capacitación de los profesionales en ciberseguridad para afrontar los retos que plantea el entorno digital.
IV. Conclusión
Más allá de constituir la transposición de la Directiva europea NIS-2, el Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad es un paso importante hacia la creación de un marco normativo robusto que permita al país afrontar las crecientes amenazas cibernéticas de manera efectiva.
El Anteproyecto busca establecer una gobernanza clara, mejorar la coordinación entre los actores relevantes, ampliando las obligaciones para las organizaciones en diversos sectores, proteger la infraestructura crítica y educar a la sociedad, contribuyendo a crear un entorno digital más seguro.
Sin embargo, será crucial que el marco normativo se adapte de manera flexible a los rápidos cambios tecnológicos, mejorando la colaboración y la respuesta ante incidentes a nivel europeo y continúe fomentando la cooperación internacional en la lucha contra los ciberdelitos.