'El Consejo de Ministros ha aprobado el anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad a propuesta conjunta de los ministerios del Interior, de Defensa y para la Transformación Digital y de la Función Pública.
El
objetivo último de esta norma, elaborada por la Secretaría de Estado de
Seguridad, es reforzar la protección de las redes y sistemas de
información que son ya cruciales para el desarrollo de la inmensa
mayoría de las actividades sociales y económicas actuales, y que están
sometidas a graves ciberamenazas, nuevos desafíos y riesgos que
requieren respuestas adaptadas, coordinadas e innovadoras.
Cuando
sea aprobada de manera definitiva, la futura ley incorporará al
ordenamiento jurídico español la Directiva (UE) 2022/2555 del Parlamento
Europeo y del Consejo, de 14 de diciembre de 2022, conocida como NIS-2,
que incluye una serie de medidas destinadas a garantizar un elevado
nivel común de ciberseguridad en toda la Unión Europea.
El
anteproyecto aprobado precisa que las entidades públicas o privadas
afectadas por esta norma son aquellas que tengan su residencia fiscal en
España o, que, teniendo su residencia en otro Estado de la Unión
Europea, ofrezcan sus servicios o desarrollen su actividad en nuestro
país.
Además, estas
entidades deberán estar encuadradas en sectores considerados de alta
criticidad para el normal funcionamiento de la vida social y económica
del país, como la energía, el transporte, banca y mercados financieros,
sector sanitario, agua, infraestructuras digitales y servicios
tecnológicos, entidades de la administración pública e industria
nuclear.
Otros
sectores de menor criticidad recogidos en el anteproyecto son los
servicios postales y de mensajería; la gestión de residuos; la
fabricación, producción y distribución de sustancias y mezclas químicas;
la producción, transformación y distribución de alimentos; los
proveedores de servicios digitales; la investigación científica, y la
seguridad privada.
Estas
entidades deberán realizar una evaluación individualizada de su riesgo y
poner en marcha una serie de actuaciones para garantizar y elevar los
niveles de seguridad de sus redes y sistemas de información y prevenir
el riesgo de incidentes.
Además,
están obligadas a notificar los incidentes significativos que se
produzcan en su operativa o en la prestación de sus servicios, tanto si
son redes y servicios propios como si pertenecen a proveedores externos,
así como a comunicar a la mayor brevedad a los destinatarios de sus
servicios, ya sean personas físicas o jurídicas, cualquier ciberamenaza
significativa que les pueda afectar, así como las medidas o soluciones
que pueden aplicar como respuesta.
El
anteproyecto diseña la figura del responsable de la seguridad de la
información como persona u órgano designado por las entidades encargado
de las funciones de punto de contacto y de coordinación técnica. En las
entidades esenciales (las más relevantes en función de su tamaño) el
responsable de la seguridad de la información deberá obtener la
condición de personal acreditado.
En
concreto, el responsable de la seguridad de la información se encargará
de elaborar y someter a la aprobación de la organización la estrategia y
políticas de ciberseguridad; supervisar y desarrollar la aplicación de
dichas políticas y su efectividad; supervisar el cumplimiento de la
normativa aplicable en materia de seguridad de las redes y sistemas de
información, y gestionar los incidentes de ciberseguridad.
Centro Nacional de Ciberseguridad
El
anteproyecto, por lo que al régimen de gobernanza se refiere, diseña la
Estrategia Nacional de Ciberseguridad y crea el Centro Nacional de
Ciberseguridad, órgano de contacto único con la Unión Europea adscrito a
la Secretaría General de Presidencia del Gobierno que se encargará de
la dirección, impulso y coordinación en la materia, garantizará la
cooperación intersectorial y transfronteriza con otras autoridades
competentes y será autoridad de gestión de las crisis de ciberseguridad.
Además, la norma pone en pie una serie de autoridades de control encargadas de las funciones de supervisión y ejecución:
- el Ministerio del Interior, a través de la Oficina de Coordinación de Ciberseguridad de la Secretaría de Estado de Seguridad,
- el Ministerio de Defensa, a través del Centro Criptológico Nacional del Centro Nacional de Inteligencia,
- y el Ministerio para la Transformación Digital y de la Función Pública, a través de la Secretaría de Estado de Telecomunicaciones e Infraestructuras Digitales y de Digitalización e Inteligencia Artificial.
La
función de estas autoridades de control es verificar en sus sectores el
cumplimiento de los estándares, guías, especificaciones e instrucciones
técnicas de ciberseguridad; comprobar el cumplimiento de las funciones
del responsable de la seguridad de la información y realizar las
comprobaciones, inspecciones, pruebas y revisiones necesarias para
comprobar las medidas de seguridad.
Además,
el anteproyecto señala una serie de equipos de respuesta a incidentes
de ciberseguridad de entidad entre cuyos cometidos destacan el
seguimiento y análisis de las ciberamenazas, las vulnerabilidades y los
incidentes que se detecten a escala nacional, así como prestar
asistencia, si así lo solicitan, a las entidades afectadas y responder
así a los episodios que afecten a la ciberseguridad.
Estos
equipos podrán también supervisar en tiempo real o inmediato las redes y
sistemas de información de estas entidades, así como difundir alertas
tempranas, avisos e información sobre las ciberamenazas y las
vulnerabilidades detectadas.
Tramitación urgente
El
Consejo de Ministros también ha aprobado este martes dar trámite
administrativo de urgencia al anteproyecto, para que pueda ser aprobado
por el Gobierno, en segunda vuelta, cuanto antes y dar de inmediato paso
a su debate parlamentario.
En
esta fase, Interior recabará los informes preceptivos de los
ministerios de Defensa; para la Transformación Digital y de la Función
Pública, y de Hacienda, así como del Departamento de Seguridad Nacional.
También
se solicitará criterio a otros ocho departamentos ministeriales, así
como a la Oficina de Coordinación y Calidad Normativa, el Banco de
España y la Agencia Española de Protección de Datos, junto al preceptivo
dictamen del Consejo de Estado.
Interior
va a comunicar de inmediato la aprobación de este anteproyecto a la
Comisión Europea, dado que el plazo para la trasposición de la Directiva
NIS-2 al derecho interno español venció el 17 de octubre de 2024.'
Entradas
No hay comentarios:
Publicar un comentario