Ley de Coordinación y Gobernanza de la Ciberseguridad

Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad, transposición de la Directiva (UE) 2022/2555 NIS 2 en España
Ley de Coordinación y Gobernanza de la Ciberseguridad
Facebook
Twitter
LinkedIn
Email
WhatsApp

La seguridad en el ciberespacio se ha convertido en un pilar fundamental para garantizar el funcionamiento continuo y seguro de los servicios esenciales y las actividades económicas. Con este objetivo, la Directiva (UE) 2022/2555, conocida como NIS 2, establece un marco renovado para fortalecer la ciberseguridad en la Unión Europea. España, a través de la aprobación del anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad, ha adoptado esta directiva, incluyendo importantes incorporaciones para adaptarla al contexto nacional. Algunas incorporaciones a destacar del anteproyecto son:

1. Creación del Centro Nacional de Ciberseguridad

Una de las novedades más destacadas es la creación del Centro Nacional de Ciberseguridad (CNC), que actuará como la autoridad nacional competente única en la materia. Este organismo centralizará las responsabilidades de gobernanza y coordinación, mejorando la cooperación entre las autoridades sectoriales y las entidades afectadas. Además, el CNC será el punto de contacto único con las autoridades de la Unión Europea y jugará un papel clave en la gestión de crisis de ciberseguridad.

2. Clasificación de Entidades

La transposición incorpora una clasificación de entidades en esenciales e importantes, basada en su tamaño y criticidad para la seguridad nacional. Esta clasificación permite:

Se incorporan como entidades esenciales diputaciones provinciales, cabildos y consejos insulares y municipios de gran población. Se incorporan como entidades importantes, municipios que, no siendo municipios de gran población, su población sea superior a 20.000 habitantes, y las entidades de su sector público institucional.

3. Obligaciones específicas

Las entidades esenciales e importantes deben cumplir con nuevas obligaciones, entre las que destacan:

Las entidades esenciales demostratán el cumplimiento de las obligaciones mediante la obtención y mantenimiento de una certificación de conformidad acreditativa. Se usará estándares europeos para las certificaciones. Las entidades importantes mediante la certificación o realizando una autoevaluación de la postura de seguridad. Las entidades que esten dentro del ENS, tendrán perfiles específicos de la Ley en las auditoria del ENS

4. Fomento de la resiliencia en las PYMES

Aunque las PYMES no están directamente reguladas por la ley, el anteproyecto incluye disposiciones específicas para fomentar su resiliencia:

5. Coordinación Nacional e Internacional

La normativa refuerza la cooperación a nivel nacional mediante:

6. Régimen Sancionador

El nuevo régimen sancionador clasifica las infracciones en leves, graves y muy graves, con sanciones proporcionales al impacto del incumplimiento. Este enfoque busca garantizar que las entidades cumplan con las medidas de seguridad establecidas. Además de sanciones económicas según la clasificación de la infracción, pueden llegar a prohíbir temporalmente ejercer las funciones a cualquier persona que ejerza responsabilidades de dirección a nivel de director general o representante legal en la entidad esencial.

7. Integración con otras Normativas:

El Anteproyecto alinea las disposiciones de la Directiva NIS 2 con otras normativas nacionales y europeas, como el Esquema Nacional de Seguridad ENS (ver ¿En qué medidas coinciden la Directiva europea NIS 2 y el Esquema Nacional de Seguridad?) y el Reglamento Europeo DORA, en vigor desde 17 de enero 2025, para el sector financiero, asegurando un enfoque coherente en la protección de los sistemas críticos

Impacto que tendrá la Ley de Coordinación y Gobernanza de la Ciberseguridad

Estas medidas refuerzan la ciberresiliencia de las entidades públicas y privadas en España, garantizando una mejor preparación frente a ciberamenazas en un entorno cada vez más complejo. Además, facilitan la cooperación transfronteriza y el cumplimiento de los objetivos comunes de ciberseguridad en la Unión Europea.

La adaptación de la Directiva NIS 2 en España representa un paso significativo elevando la postura de ciberseguridad de las entidades afectadas, posicionando al país como un referente en la protección de infraestructuras digitales y servicios esenciales.

Comparte este artículo:

Facebook
Twitter
LinkedIn
Email
WhatsApp