La norma transpone al ordenamiento nacional la Directiva 2022/2555 del Parlamento Europeo y del Consejo (NIS-2).
El Consejo de Ministros ha aprobado el anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad a propuesta conjunta de los ministerios del Interior, de Defensa y para la Transformación Digital y de la Función Pública. La norma transpone al ordenamiento nacional la Directiva 2022/2555 del Parlamento Europeo y del Consejo (NIS-2).
El anteproyecto precisa las entidades públicas o privadas afectadas por las normas de ciberseguridad que establece. Además, crea el Centro Nacional de Ciberseguridad, que se encargará de la dirección, impulso y coordinación en la materia, garantizará la cooperación intersectorial y transfronteriza con otras autoridades competentes y será autoridad de gestión de crisis en caso de incidentes de entidad.
Además, estas entidades deberán estar encuadradas en sectores considerados de alta criticidad para el normal funcionamiento de la vida social y económica del país, como la energía, el transporte, banca y mercados financieros, sector sanitario, agua, infraestructuras digitales y servicios tecnológicos, entidades de la administración pública e industria nuclear.
El anteproyecto recoge otros sectores de menor criticidad en el anteproyecto tales como los servicios postales y de mensajería; la gestión de residuos; la fabricación, producción y distribución de sustancias y mezclas químicas; la producción, transformación y distribución de alimentos; los proveedores de servicios digitales; la investigación científica, y la seguridad privada.
Estas entidades deberán realizar una evaluación individualizada de su riesgo y poner en marcha una serie de actuaciones para garantizar y elevar los niveles de seguridad de sus redes y sistemas de información y prevenir el riesgo de incidentes. Asimismo, están obligadas a notificar los incidentes significativos que se produzcan en su operativa o en la prestación de sus servicios, tanto si son redes y servicios propios como si pertenecen a proveedores externos, así como a comunicar a la mayor brevedad a los destinatarios de sus servicios, ya sean personas físicas o jurídicas, cualquier ciberamenaza significativa que les pueda afectar, así como las medidas o soluciones que pueden aplicar como respuesta.
Hay que indicar que el objetivo último del anteproyecto es reforzar la protección de las redes y sistemas de información que son ya cruciales para el desarrollo de la inmensa mayoría de las actividades sociales y económicas actuales, y que están sometidas a graves ciberamenazas, nuevos desafíos y riesgos que requieren respuestas adaptadas, coordinadas e innovadoras.
Sin olvidar que también diseña la figura del responsable de la seguridad de la información como persona u órgano designado por las entidades encargado de las funciones de punto de contacto y de coordinación técnica. En las entidades esenciales (las más relevantes en función de su tamaño), el responsable de la seguridad de la información deberá obtener la condición de personal acreditado.
En concreto, el responsable de la seguridad de la información se encargará de elaborar y someter a la aprobación de la organización la estrategia y políticas de ciberseguridad; supervisar y desarrollar la aplicación de dichas políticas y su efectividad; supervisar el cumplimiento de la normativa aplicable en materia de seguridad de las redes y sistemas de información, y gestionar los incidentes de ciberseguridad.
Una vez aprobada, la futura ley incorporará al ordenamiento jurídico español la Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, conocida como NIS-2, que incluye una serie de medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión Europea.
No en vano, el Consejo de Ministros también ha aprobado dar trámite administrativo de urgencia al anteproyecto para que pueda ser aprobado por el Gobierno, en segunda vuelta, cuanto antes y dar de inmediato paso a su debate parlamentario.
En consecuencia, la intención del ministerio de Interior es comunicar de inmediato la aprobación de este anteproyecto a la Comisión Europea, dado que el plazo para la trasposición de la Directiva NIS-2 al derecho interno español venció el 17 de octubre de 2024.