fbpx
Contacto

Ley de Coordinación y Gobernanza de la Ciberseguridad: trasposición de la Directiva NIS-2

María Cerviño Rúa
La Ley de Coordinación y Gobernanza de la Ciberseguridad afectará a empresas de sectores críticos como la energía, la banca o la salud
La Ley de Coordinación y Gobernanza de la Ciberseguridad impone la figura del CISO en muchas empresas


El Consejo de Ministros ha aprobado el Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad, una norma que busca regular la protección de los sistemas de información de entidades privadas y públicas que tengan su domicilio en España, o que teniéndolo en otro país de la UE, presten servicios o desarrollen su actividad en España.

Con esta norma se impondrán a determinadas empresas obligaciones relativas a la ciberseguridad, a fin de garantizar y elevar los niveles de seguridad de sus redes y sistemas de información y prevenir el riesgo de incidentes.

La ley resultante de este anteproyecto, aprobado a propuesta conjunta de los ministerios del Interior, de Defensa y para la Transformación Digital y de la Función Pública, servirá para trasponer al ordenamiento español la Directiva 2022/2555 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, conocida como NIS-2, que incluye una serie de medidas destinadas a establecer un nivel común de ciberseguridad en toda la Unión Europea.

La Ley de Coordinación y Gobernanza de la Ciberseguridad se tramita además en un contexto de crecimiento de los ciberataques en España, que aumentaron un 30% en 2023, alcanzando las 40.000 incidencias diarias y afectando especialmente a las PYMES (36%).

Según una investigación reciente de Positive Technologies, que llevó a cabo una serie de pentests en varios sectores, se demostró que los ciberdelincuentes pueden penetrar de forma fiable en el 96% de las redes de las empresas. España está considerada por varios estudios como un país diana, de entre los 5 más más vulnerables frente a nuevos ciberataques.

A continuación, vamos a desgranar las claves del texto íntegro del anteproyecto de Ley de Coordinación y Gobernanza de la ciberseguridad.

¿Quiénes han de cumplir la Ley de Coordinación y Gobernanza de la Ciberseguridad?

La Ley de Coordinación y Gobernanza de la Ciberseguridad se aplicará a entidades públicas y privadas que tengan su residencia fiscal en España y a aquellas que tengan su residencia fiscal en otro Estado de la Unión Europea, pero desarrollen su actividad u ofrezcan sus servicios en nuestro país.

Se aplicará a entidades que formen parte de sectores críticos a nivel social o económico:

  • Energía.
  • Transporte.
  • Banca y mercados financieros.
  • Sector sanitario.
  • Agua.
  • Infraestructuras digitales y servicios tecnológicos.
  • Entidades de la administración pública.
  • Industria nuclear.

Además, se aplicará también a otros sectores como:

  • Los servicios postales y de mensajería.
  • La gestión de residuos.
  • La fabricación, producción y distribución de sustancias y mezclas químicas.
  • La producción, transformación y distribución de alimentos.
  • Los proveedores de servicios digitales.
  • La investigación científica.
  • La seguridad privada.

Principales obligaciones de la Ley de Coordinación y Gobernanza de la Ciberseguridad

1. Evaluación de riesgo y medidas preventivas

La Ley de Coordinación y Gobernanza de la Ciberseguridad obligará a las entidades de los sectores mencionados a realizar una evaluación individualizada de su riesgo, así como a adoptar medidas preventivas de seguridad de sus redes y sistemas.

2. Responsable de seguridad de la información en las empresas

Las entidades obligadas deberán también designar a un responsable de seguridad de la información, que podrá ser una persona o un órgano. Esta figura existe ya en determinadas homologaciones o acreditaciones relativas a seguridad de la información, habitualmente con el nombre de CISO o Chief Information Security Officer. En las entidades más grandes y relevantes, este responsable deberá obtener una acreditación. Este responsable deberá encargarse de:

  • Elaborar y someter a la aprobación de la organización la estrategia y políticas de ciberseguridad.
  • Supervisar y desarrollar la aplicación de dichas políticas y su efectividad.
  • Supervisar el cumplimiento de la normativa aplicable en materia de seguridad de las redes y sistemas de información.
  • Gestionar los incidentes de ciberseguridad.
  • Actuar como punto de contacto y coordinación en caso de incidente.

3. Notificación de incidentes significativos y comunicación de ciberamenazas

La Ley de Coordinación y Gobernanza de la Ciberseguridad también obligará a notificar los incidentes significativos que se produzcan en las entidades obligadas, ya sea respecto de su operativa o en la prestación de sus servicios, tanto si son redes y servicios propios como si pertenecen a proveedores externos. Así como a comunicar a la mayor brevedad a los destinatarios de sus servicios, sean personas físicas o jurídicas, cualquier ciberamenaza significativa que les pueda afectar, así como las medidas o soluciones que pueden aplicar como respuesta.

La Ley de Coordinación y Gobernanza de la Ciberseguridad impone la creación del Centro Nacional de Ciberseguridad

Se va a crear el Centro Nacional de Ciberseguridad

El anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad incluye la creación el Centro Nacional de Ciberseguridad. Este organismo:

  • Se encargará de la dirección, impulso y coordinación en la materia.
  • Garantizará la cooperación intersectorial y transfronteriza con otras autoridades competentes.
  • Será autoridad de gestión de las crisis de ciberseguridad.

Además, la Ley de Coordinación y Gobernanza de la Ciberseguridad asigna competencias de supervisión y ejecución a otros organismos ya existentes dependientes de distintos ministerios:

  • La Oficina de Coordinación de Ciberseguridad de la Secretaría de Estado de Seguridad (Ministerio del Interior).
  • El Centro Criptológico Nacional del Centro Nacional de Inteligencia (Ministerio de Defensa).
  • Secretaría de Estado de Telecomunicaciones e Infraestructuras Digitales y de Digitalización e Inteligencia Artificial (Ministerio para la Transformación Digital y de la Función Pública).

Estos organismos se encargarán de:

  • Verificar el cumplimiento de los estándares, guías, especificaciones e instrucciones técnicas de ciberseguridad en sus correspondientes sectores.
  • Comprobar el cumplimiento de las funciones del responsable de la seguridad de la información.
  • Realizar las comprobaciones, inspecciones, pruebas y revisiones necesarias para comprobar las medidas de seguridad.

Equipos de respuesta a incidentes

La Ley de Coordinación y Gobernanza de la Ciberseguridad también establece la puesta en marcha de equipos de respuesta a incidentes de ciberseguridad para:

  • El seguimiento y análisis de las ciberamenazas, las vulnerabilidades y los incidentes que se detecten a escala nacional.
  • Prestar asistencia a las entidades afectadas.
  • Responder a los episodios que afecten a la ciberseguridad.
  • Supervisar en tiempo real las redes y sistemas de información de las entidades afectadas.
  • Difundir alertas tempranas, avisos e información sobre las ciberamenazas y las vulnerabilidades detectadas.

¿Cuándo comenzará a aplicarse la Ley de Coordinación y Gobernanza de la Ciberseguridad?

Este anteproyecto se tramitará por vía de urgencia, para que pueda ser debatido en sede parlamentaria cuanto antes. Así y todo, en tanto no se apruebe la ley definitiva, España estará incumpliendo el plazo de trasposición de la Directiva NIS-2 al derecho interno español, que venció el 17 de octubre de 2024.

Vento Abogados & Asesores cuenta con un equipo de abogados especializados en Derecho Tecnológico, startups y protección de datos para asesorarle a la hora de adaptar las estructuras de su empresa para cumplir con la futura Ley de Coordinación y Gobernanza de la Ciberseguridad.

Autor

Últimas entradas

  • Actualidad
  • Blog
  • Entradas más vistas

Síguenos

Política de cookies
Política de privacidad
Aviso legal

© All Rights Reserved