El Consejo de Ministros de esta semana ha dado luz verde al anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad.
De esta manera se inicia la tramitación de urgencia del anteproyecto, para que dar paso cuanto antes a su debate parlamentario, dado que el plazo para la trasposición de la Directiva NIS-2 al derecho interno español venció el 17 de octubre de 2024.
El objetivo de esta norma es reforzar la protección de las redes y sistemas de información que son ya cruciales para el desarrollo de la inmensa mayoría de las actividades sociales y económicas actuales, y que están sometidas a graves ciberamenazas, nuevos desafíos y riesgos que requieren respuestas adaptadas, coordinadas e innovadoras.
Logística y transporte, sectores de alta criticidad
El proyecto normativo precisa las entidades públicas o privadas afectadas y encuadradas en sectores considerados de alta criticidad para el normal funcionamiento de la vida social y económica del país, como la energía, el transporte, banca y mercados financieros, sector sanitario, agua, infraestructuras digitales y servicios tecnológicos, entidades de la administración pública e industria nuclear.
Así mismo, otros sectores de menor criticidad recogidos en el anteproyecto son los servicios postales y de mensajería, la gestión de residuos; la fabricación, producción y distribución de sustancias y mezclas químicas, la producción, transformación y distribución de alimentos, los proveedores de servicios digitales, la investigación científica, y la seguridad privada.
Estas entidades deberán realizar una evaluación individualizada de su riesgo y poner en marcha una serie de actuaciones para garantizar y elevar los niveles de seguridad de sus redes y sistemas de información y prevenir el riesgo de incidentes.
Además, están obligadas a notificar los incidentes significativos que se produzcan en su operativa o en la prestación de sus servicios, tanto si son redes y servicios propios como si pertenecen a proveedores externos, así como a comunicar a la mayor brevedad a los destinatarios de sus servicios, ya sean personas físicas o jurídicas, cualquier ciberamenaza significativa que les pueda afectar, así como las medidas o soluciones que pueden aplicar como respuesta.
El anteproyecto diseña la figura del responsable de la seguridad de la información como persona u órgano designado por las entidades encargado de las funciones de punto de contacto y de coordinación técnica.
Por otro lado, el anteproyecto, por lo que al régimen de gobernanza se refiere, también diseña la Estrategia Nacional de Ciberseguridad y crea el Centro Nacional de Ciberseguridad, órgano de contacto único con la Unión Europea adscrito a la Secretaría General de Presidencia del Gobierno que se encargará de la dirección, impulso y coordinación en la materia, garantizará la cooperación intersectorial y transfronteriza con otras autoridades competentes y será autoridad de gestión de las crisis de ciberseguridad.
Además, el anteproyecto señala una serie de equipos de respuesta a incidentes de ciberseguridad de entidad entre cuyos cometidos destacan el seguimiento y análisis de las ciberamenazas, las vulnerabilidades y los incidentes que se detecten a escala nacional, así como prestar asistencia, si así lo solicitan, a las entidades afectadas y responder así a los episodios que afecten a la ciberseguridad.
