I. Introducción
El Consejo de Ministros aprobó el 14 de enero de 2025 el Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad (en adelante «el Anteproyecto») a propuesta conjunta de los ministerios del Interior, de Defensa y para la Transformación Digital y de la Función Pública. En este artículo vamos a desarrollar lo que supone la transposición a la jurisdicción española de la Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo de 14 de diciembre de 2022 (LA LEY 26820/2022) relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión, por la que se modifican el Reglamento (UE) n.o 910/2014 y la Directiva (UE) 2018/1972 (LA LEY 20019/2018) y por la que se deroga la Directiva (UE) 2016/1148 (LA LEY 11863/2016) (Directiva SRI 2) - conocida como Directiva NIS-2, mediante el Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad.
El dicho español de «más vale tarde que nunca», en este caso cobra especial relevancia ya que los Estados miembros tenían hasta el 17 de octubre de 2024 para transponer la Directiva NIS-2 al ordenamiento jurídico. En España, hemos estado al borde de una sanción y es cierto que aún no tenemos una norma en vigor que transponga la Directiva NIS-2, pero sí que contamos con esta propuesta legislativa que tiene como objetivo establecer un marco normativo para mejorar la seguridad en el entorno digital en el país. No obstante, se comunicó a la Comisión Europea que el Consejo de Ministros aprobó dar trámite administrativo de urgencia al Anteproyecto, para que pueda ser aprobado por el Gobierno, en segunda vuelta, cuanto antes y dar de inmediato paso a su debate parlamentario.
El Anteproyecto busca crear una estructura organizada para gestionar o coordinar los esfuerzos relacionados con la ciberseguridad, abarcando tanto a actores el sector público como privado. Todo ello en un contexto donde las amenazas cibernéticas son cada vez más complejas y frecuentes, este anteproyecto se propone responder de manera efectiva a los retos derivados de la digitalización y las vulnerabilidades tecnológicas. Además, tiene como objetivo establecer una estructura coherente y eficiente para gestionar la ciberseguridad a nivel nacional, garantizando la protección de los sistemas digitales, la infraestructura crítica y los datos personales frente a amenazas cada vez más complejas en un mundo cada vez más interconectado.
II. Contexto y Justificación
En los últimos años, la ciberseguridad ha adquirido una relevancia sin precedentes debido al incremento de ciberataques, cibercriminalidad, y otras amenazas tecnológicas que pueden comprometer la integridad de los sistemas informáticos, las infraestructuras esenciales y la privacidad de los ciudadanos. La digitalización de los servicios y el creciente uso de tecnologías avanzadas en diversas áreas de la vida diaria han ampliado las posibilidades de vulnerabilidad.
En este contexto, el Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad busca fortalecer el marco normativo para hacer frente a estos desafíos, estableciendo reglas claras para la cooperación entre las diferentes entidades públicas y privadas que gestionan la ciberseguridad, así como para la creación de órganos de supervisión y coordinación.
El Anteproyecto cuenta con VII capítulos:
- — Capítulo I: Disposiciones generales
- — Capítulo II: Marco estratégico e institucional
- — Capítulo III: Medidas para la gestión de riesgos de ciberseguridad y obligaciones de notificación
- — Capítulo IV: Registros de entidades de naturaleza transfonteriza
- — Capítulo V: Intercambio de Información
- — Capítulo VI: Supervisión y Ejecución
- — Capítulo VII: Régimen sancionador
- — 8 disposiciones adicionales
- — 5 disposiciones finales
La transposición de la Directiva NIS-2 al derecho español supone una adaptación y modificación de la legislación española para cumplir con los requisitos establecidos por esta directiva europea. La Directiva NIS-2 busca reforzar la ciberseguridad en la Unión Europea, ampliando las obligaciones a un mayor número de sectores y entidades, así como mejorar la cooperación y la respuesta ante incidentes de ciberseguridad.
En el contexto español, la transposición de la Directiva NIS-2 se materializa principalmente en la modificación de la Ley 8/2011, de 28 de abril (LA LEY 8430/2011), sobre seguridad de las redes y sistemas de información (la Ley NIS original), y la introducción de nuevas regulaciones y medidas más estrictas en varios ámbitos, como los siguientes:
- — Ampliación del ámbito de aplicación: La Directiva NIS-2 amplía el número de entidades y sectores sujetos a las obligaciones de seguridad cibernética, incorporando a más sectores esenciales (por ejemplo, proveedores de servicios digitales, plataformas en línea, etc.) y aumentando la exigencia de seguridad y notificación de incidentes.
- — Gestión de riesgos y políticas de seguridad: Se exige a las entidades cumplir con requisitos más estrictos en cuanto a la gestión de riesgos y el establecimiento de políticas de ciberseguridad, incluyendo la necesidad de establecer medidas preventivas, detectar incidentes y responder ante ellos.
- — Notificación de incidentes: Las entidades deberán notificar los incidentes de ciberseguridad significativos dentro de un plazo de 24 horas, lo que obliga a un nivel de preparación y respuesta más elevado.
- — Fortalecimiento de la cooperación: Se incrementan las obligaciones de cooperación entre los Estados miembros de la UE y las autoridades nacionales, lo que implica un mayor intercambio de información y la creación de redes de confianza para hacer frente a incidentes transfronterizos.
- — Sanciones más estrictas: Las sanciones por el incumplimiento de las normativas de ciberseguridad se vuelven más severas. Esto busca aumentar el cumplimiento y la responsabilidad entre las entidades, con multas y otras consecuencias por no cumplir con los requisitos.
III. Principales Objetivos
De conformidad con el Anteproyecto sus objetivos principales son los que siguen:
- a) Establecer una política nacional de ciberseguridad: El Anteproyecto busca articular una política coherente que guíe la acción pública y privada en materia de protección cibernética, alineando los esfuerzos en defensa de la seguridad digital.
- b) Fortalecer la coordinación entre actores: Dado que la ciberseguridad es una responsabilidad compartida entre el sector público, privado y la sociedad civil, el Anteproyecto establece una estructura de gobernanza que favorezca la colaboración y la acción conjunta frente a incidentes cibernéticos.
- c) Crear instituciones especializadas: Una de las propuestas más destacadas es la creación de un organismo nacional encargado de la supervisión, coordinación y resolución de incidentes relacionados con la ciberseguridad. Este órgano se encargaría también de promover la capacitación y actualización constante de las políticas en materia de ciberseguridad.
- d) Garantizar la protección de infraestructuras críticas: Especial atención se presta en el Anteproyecto a la protección de los sectores más vulnerables a recibir ataques cibernéticos, como los servicios de salud, la energía, las telecomunicaciones, el transporte y la banca.
- e) Fomentar la cooperación internacional: La naturaleza transnacional de las amenazas cibernéticas obliga a la cooperación entre países. El Anteproyecto contempla mecanismos para la colaboración europea e internacional, compartiendo información y asistiendo mutuamente con respecto a la gestión de incidentes cibernéticos.
- f) Impulsar la educación y concienciación: Uno de los objetivos fundamentales del Anteproyecto es la sensibilización de la ciudadanía sobre los riesgos cibernéticos, así como la capacitación de los profesionales en ciberseguridad para afrontar los retos que plantea el entorno digital.
IV. Estructura de Gobernanza
El Anteproyecto plantea una estructura de gobernanza clara y jerárquica, en la que las decisiones en materia de ciberseguridad estarán bajo la coordinación de organismos nacionales, pero también incluirá mecanismos de coordinación regionales y locales. Además, establece que el Consejo Nacional de Ciberseguridad será el encargado de la planificación y ejecución de la política nacional en esta materia.
Este órgano deberá trabajar en estrecha colaboración con otras entidades, como las fuerzas de seguridad, los ministerios de Defensa, Economía y Tecnologías de la Información, así como con empresas clave de infraestructura tecnológica.
V. Principales Retos y Desafíos
Aunque el anteproyecto representa un avance en la organización de la ciberseguridad, se enfrenta a varios retos, entre los que destacan:
- • Adaptación a la rápida evolución tecnológica: Las tecnologías emergentes, como la inteligencia artificial, el internet de las cosas y la informática cuántica, suponen nuevos desafíos que podrían superar las capacidades actuales de defensa cibernética. El anteproyecto deberá ser lo suficientemente flexible para adaptarse a estos cambios.
- • Coordinación entre sectores público y privado: A pesar de la necesidad de cooperación, es bien sabido que las diferencias entre el sector público y privado en cuanto a objetivos, protocolos y recursos pueden dificultar la implementación de una estrategia unificada para tener una respuesta unificada.
- • Fortalecimiento de las capacidades nacionales: Muchos estados miembros aún enfrentan deficiencias en su infraestructura de ciberseguridad. Será necesario un esfuerzo constante para asegurar que se cuente con los recursos humanos, tecnológicos y financieros adecuados para garantizar la efectividad del Anteproyecto.
VI. Conclusión
Más allá de constituir la transposición de la Directiva europea NIS-2, el Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad es un paso importante hacia la creación de un marco normativo robusto que permita al país afrontar las crecientes amenazas cibernéticas de manera efectiva.
El Anteproyecto busca establecer una gobernanza clara, mejorar la coordinación entre los actores relevantes, ampliando las obligaciones para las organizaciones en diversos sectores, proteger la infraestructura crítica y educar a la sociedad, contribuyendo a crear un entorno digital más seguro.
Sin embargo, será crucial que el marco normativo se adapte de manera flexible a los rápidos cambios tecnológicos, mejorando la colaboración y la respuesta ante incidentes a nivel europeo y continúe fomentando la cooperación internacional en la lucha contra los ciberdelitos.