El Consejo de Ministros ha aprobado este martes 14 de enero el anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad, a propuesta conjunta de los ministerios de Interior, Defensa y Transformación Digital, según ha anunciado Fernando Grande-Marlaska.
En la rueda de prensa posterior al Consejo de Ministros, el titular de Interior ha explicado que «el objetivo último de esta norma, elaborada por la Secretaría de Estado de Seguridad, es reforzar la protección de las redes y sistemas de información», en un contexto en el que las «graves ciberamenazas» a las que están sometidas «plantean nuevos desafíos y riesgos que requieren respuestas adaptadas, coordinadas e innovadoras».
España, uno de los países más atacados por los ‘hacktivistas’ prorrusos, según el CNI
Según ha avanzado Marlaska, el anteproyecto de ley ha sido aprobado «en primera vuelta» por el Ejecutivo y se tramitará por el «procedimiento administrativo de urgencia, para que pueda ser aprobado por el Gobierno cuanto antes en segunda vuelta y dar de inmediato paso a su debate parlamentario».
En el anteproyecto también se incluye la creación del Centro Nacional de Ciberseguridad, un órgano de contacto único con la Unión Europea que estará adscrito a la Secretaría General de Presidencia del Gobierno y que será la autoridad de gestión de las crisis de ciberseguridad.
Las entidades afectadas por la norma deberán notificar las ciberamenazas a sus usuarios
Cuando sea aprobada de manera definitiva, la futura ley obligará a las entidades públicas o privadas afectadas por la norma a «realizar una evaluación individualizada de su riesgo, y poner en marcha una serie de actuaciones para garantizar y elevar los niveles de seguridad de sus redes y sistemas de información y prevenir el riesgo de incidentes», ha explicado el ministro.
Además, estarán obligadas a notificar los incidentes significativos que se produzcan en su operativa o en la prestación de sus servicios, tanto si son redes y servicios propios como si pertenecen a proveedores externos.
Y también, y así lo ha detallado el titular de Interior, a comunicar a la mayor brevedad a los destinatarios de sus servicios, ya sean personas físicas o jurídicas, cualquier ciberamenaza significativa que les pueda afectar, así como las medidas o soluciones que pueden aplicar como respuesta.
Qué entidades estarán incluidas en la nueva normativa
El anteproyecto aprobado este martes precisa que las entidades públicas o privadas afectadas por esta norma son aquellas que tengan su residencia fiscal en España o, que, teniendo su residencia en otro Estado de la Unión Europea, ofrezcan sus servicios o desarrollen su actividad en nuestro país.
Además, estas entidades deberán estar encuadradas en sectores considerados de alta criticidad para el normal funcionamiento de la vida social y económica del país, como la energía, el transporte, banca y mercados financieros, sector sanitario, agua, infraestructuras digitales y servicios tecnológicos, entidades de la administración pública e industria nuclear.
Otros sectores de menor criticidad recogidos en el anteproyecto son los servicios postales y de mensajería; la gestión de residuos; la fabricación, producción y distribución de sustancias y mezclas químicas; la producción, transformación y distribución de alimentos; los proveedores de servicios digitales; la investigación científica, y la seguridad privada.
Un responsable de seguridad para la coordinación técnica
El anteproyecto diseña la figura del responsable de la seguridad de la información como persona u órgano designado por las entidades encargado de las funciones de punto de contacto y de coordinación técnica. En las entidades esenciales (las más relevantes en función de su tamaño) el responsable de la seguridad de la información deberá obtener la condición de personal acreditado.
En concreto, el responsable de la seguridad de la información se encargará de elaborar y someter a la aprobación de la organización la estrategia y políticas de ciberseguridad; supervisar y desarrollar la aplicación de dichas políticas y su efectividad; supervisar el cumplimiento de la normativa aplicable en materia de seguridad de las redes y sistemas de información, y gestionar los incidentes de ciberseguridad.
Autoridades de control en materia de Ciberseguridad
Además, la norma establece una serie de autoridades de control encargadas de las funciones de supervisión y ejecución.
- El Ministerio del Interior, a través de la Oficina de Coordinación de Ciberseguridad de la Secretaría de Estado de Seguridad,
- El Ministerio de Defensa, a través del Centro Criptológico Nacional del Centro Nacional de Inteligencia,
- Y el Ministerio para la Transformación Digital y de la Función Pública, a través de la Secretaría de Estado de Telecomunicaciones e Infraestructuras Digitales y de Digitalización e Inteligencia Artificial.
La función de estas autoridades de control consistirá en verificar en sus sectores el cumplimiento de los estándares, guías, especificaciones e instrucciones técnicas de ciberseguridad; comprobar el cumplimiento de las funciones del responsable de la seguridad de la información; y realizar las comprobaciones, inspecciones, pruebas y revisiones necesarias para comprobar las medidas de seguridad.
Equipos de respuesta a incidentes que podrán supervisar en tiempo real o inmediato las redes y sistemas de información de las empresas y entidades incluidas en la norma
También se señalan una serie de equipos de respuesta a incidentes de ciberseguridad de entidad entre cuyos cometidos destacan el seguimiento y análisis de las ciberamenazas, las vulnerabilidades y los incidentes que se detecten a escala nacional, así como prestar asistencia, si así lo solicitan, a las entidades afectadas y responder así a los episodios que afecten a la ciberseguridad.
Estos equipos también podrán supervisar en tiempo real o inmediato las redes y sistemas de información de estas entidades, así como difundir alertas tempranas, avisos e información sobre las ciberamenazas y las vulnerabilidades detectadas.
Esta nueva ley, según ha explicado Marlaska, incorporará al ordenamiento jurídico español la Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, conocida como NIS-2, que incluye una serie de medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión Europea.