A propuesta conjunta de los ministerios del Interior, de Defensa y para la Transformación Digital y de la Función Pública, el Consejo de Ministros ha aprobado el anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad. El objetivo de esta norma es reforzar la protección de las redes y sistemas de información de las actividades sociales y económicas actuales, y que están sometidas a graves ciberamenazas, nuevos desafíos y riesgos que requieren respuestas adaptadas, coordinadas e innovadoras.
Cuando sea aprobada de manera definitiva, la futura ley incorporará al ordenamiento jurídico español la Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, conocida como NIS-2, que incluye una serie de medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión Europea.
El anteproyecto aprobado precisa que las entidades públicas o privadas afectadas tengan su residencia fiscal en España o, que, teniendo su residencia en otro estado de la Unión Europea, ofrezcan sus servicios o desarrollen su actividad en España.
Además, estas entidades deberán estar encuadradas en sectores considerados de alta criticidad para el normal funcionamiento de la vida social y económica del país, como la energía, el transporte, banca y mercados financieros, sector sanitario, agua, infraestructuras digitales y servicios tecnológicos, entidades de la administración pública e industria nuclear.
Otros sectores de menor criticidad recogidos en el anteproyecto son los servicios postales y de mensajería; la gestión de residuos; la fabricación, producción y distribución de sustancias y mezclas químicas; la producción, transformación y distribución de alimentos; los proveedores de servicios digitales; la investigación científica, y la seguridad privada.
Aumento de la seguridad de las redes y sistemas de información
Estas entidades deberán realizar una evaluación individualizada de su riesgo y poner en marcha una serie de actuaciones para garantizar y elevar los niveles de seguridad de sus redes y sistemas de información y prevenir el riesgo de incidentes.
Están obligadas a notificar los incidentes significativos que se produzcan en su operativa o en la prestación de sus servicios, tanto si son redes y servicios propios como si pertenecen a proveedores externos, así como a comunicar a la mayor brevedad a los destinatarios de sus servicios, ya sean personas físicas o jurídicas, cualquier ciberamenaza significativa que les pueda afectar, así como las medidas o soluciones que pueden aplicar como respuesta.
Figura del responsable y Centro Nacional de Ciberseguridad
El anteproyecto diseña la figura del responsable de la seguridad de la información como persona u órgano designado por las entidades encargado de las funciones de punto de contacto y de coordinación técnica. En las entidades, el responsable de la seguridad de la información deberá obtener la condición de personal acreditado.
En concreto, el responsable de la seguridad de la información se encargará de elaborar y someter a la aprobación de la organización la estrategia y políticas de ciberseguridad; supervisar y desarrollar la aplicación de dichas políticas y su efectividad; supervisar el cumplimiento de la normativa aplicable en materia de seguridad de las redes y sistemas de información, y gestionar los incidentes de ciberseguridad.
El anteproyecto, por lo que al régimen de gobernanza se refiere, diseña la Estrategia Nacional de Ciberseguridad y crea el Centro Nacional de Ciberseguridad, órgano que se encargará de la dirección, impulso y coordinación en la materia, garantizará la cooperación intersectorial y transfronteriza con otras autoridades competentes y será autoridad de gestión de las crisis de ciberseguridad.
Respuesta ante incidentes de ciberseguridad
Además, la norma pone en pie una serie de autoridades de control encargadas de las funciones de supervisión y ejecución, cuya función es verificar en sus sectores el cumplimiento de los estándares, guías, especificaciones e instrucciones técnicas de ciberseguridad; comprobar el cumplimiento de las funciones del responsable de la seguridad de la información y realizar las comprobaciones, inspecciones, pruebas y revisiones necesarias para comprobar las medidas de seguridad.
Por otro lado, el anteproyecto señala una serie de equipos de respuesta a incidentes de ciberseguridad de entidad entre cuyos cometidos destacan el seguimiento y análisis de las ciberamenazas, las vulnerabilidades y los incidentes que se detecten a escala nacional, así como prestar asistencia, si así lo solicitan, a las entidades afectadas y responder así a los episodios que afecten a la ciberseguridad.
Estos equipos podrán también supervisar en tiempo real o inmediato las redes y sistemas de información de estas entidades, así como difundir alertas tempranas, avisos e información sobre las ciberamenazas y las vulnerabilidades detectadas.