El Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad se presenta como una respuesta normativa integral a los retos de un entorno digital cada vez más amenazado por incidentes cibernéticos de alta complejidad. Esta legislación se enmarca en el contexto de una transformación digital que ha incrementado la dependencia de redes y sistemas de información tanto en el ámbito público como privado, exponiendo a la sociedad a riesgos significativos que pueden afectar a la economía, la seguridad nacional y la confianza pública.
La ley tiene como propósito principal alcanzar un alto nivel común de ciberseguridad en España, alineándose con los objetivos marcados por la Unión Europea, particularmente mediante la transposición de la Directiva NIS2 (Directiva (UE) 2022/2555). Este texto normativo busca abordar las carencias observadas en legislaciones previas, como la falta de coordinación entre Estados miembros y la aplicación desigual de medidas de seguridad en sectores clave. Para ello, el anteproyecto establece un marco jurídico completo que regula no solo las obligaciones de las entidades esenciales e importantes, sino también los mecanismos de supervisión, sanción y cooperación transfronteriza.
Ámbito de aplicación y enfoque estratégico
El anteproyecto define un ámbito de aplicación amplio, abarcando tanto a entidades públicas como privadas que operan en sectores críticos identificados como esenciales para la sociedad y la economía. Estas entidades, clasificadas en esenciales e importantes, se seleccionan en función de su tamaño, impacto en la infraestructura nacional y relevancia estratégica. La inclusión de sectores como infraestructura digital, energía, salud, transporte, servicios financieros y otros asegura una cobertura exhaustiva para proteger áreas críticas frente a las amenazas cibernéticas.
El texto introduce una perspectiva estratégica al crear la Estrategia Nacional de Ciberseguridad, un marco que establece objetivos, prioridades y recursos necesarios para garantizar una ciberseguridad efectiva. Esta estrategia se integra con otras políticas nacionales de seguridad, promoviendo la coherencia y evitando duplicidades. Además, fomenta la participación de todos los actores relevantes, tanto públicos como privados, asegurando una respuesta coordinada ante incidentes de gran escala.
Creación del Centro Nacional de Ciberseguridad
Uno de los pilares más destacados del anteproyecto es la creación del Centro Nacional de Ciberseguridad (CNC), que se posiciona como la autoridad nacional única en esta materia. Este organismo no solo centralizará la coordinación de actividades de ciberseguridad a nivel nacional, sino que también será el principal enlace con organismos europeos como la Agencia de Ciberseguridad de la Unión Europea (ENISA). El CNC será responsable de la dirección estratégica, la supervisión de las entidades reguladas, la gestión de crisis cibernéticas a gran escala y la cooperación intersectorial e internacional. Su papel como punto de contacto único garantiza una respuesta integrada ante incidentes transfronterizos, mejorando la resiliencia del sistema nacional frente a ciberamenazas globales.
Gestión de riesgos y obligaciones de notificación
La gestión de riesgos de ciberseguridad es otro componente clave de la ley. Obliga a las entidades esenciales e importantes a implementar medidas técnicas, organizativas y operativas para prevenir, detectar y mitigar incidentes de seguridad. Estas medidas incluyen desde la evaluación continua de vulnerabilidades hasta la designación de un responsable de la seguridad de la información, encargado de coordinar acciones internas y externas.
En cuanto a la notificación de incidentes, la ley establece la creación de una Plataforma Nacional de Notificación y Seguimiento de Ciberincidentes, que centralizará la recepción y gestión de reportes de eventos significativos. Este sistema busca mejorar la rapidez y eficacia de las respuestas, facilitando también el intercambio de información técnica entre entidades afectadas y autoridades competentes.
Régimen sancionador
El régimen sancionador propuesto por el anteproyecto es riguroso, con el objetivo de garantizar el cumplimiento de las obligaciones establecidas. Las infracciones se clasifican en leves, graves y muy graves, con sanciones que varían en función del impacto del incidente y la gravedad de la negligencia. Este enfoque proporciona una disuasión efectiva contra comportamientos irresponsables, al tiempo que protege los derechos de las entidades afectadas y asegura la proporcionalidad de las medidas adoptadas.
Intercambio de información y cooperación transfronteriza
Un elemento crucial del texto es la promoción del intercambio de información entre entidades públicas y privadas. La ley fomenta la colaboración voluntaria para prevenir incidentes y mejorar la resiliencia frente a ciberamenazas, estableciendo protocolos claros para el manejo de datos sensibles. Además, refuerza la cooperación transfronteriza mediante la alineación con estándares europeos, garantizando que España participe activamente en las redes de ciberseguridad de la UE, como la Red de CSIRT.
Impacto en sectores estratégicos y pequeños actores
El anteproyecto subraya la necesidad de prestar especial atención a las pequeñas y medianas empresas (pymes), que a menudo carecen de recursos para implementar medidas avanzadas de ciberseguridad. La normativa promueve iniciativas de apoyo, formación y concienciación para estas empresas, asegurando que también puedan protegerse frente a amenazas crecientes.
Por otro lado, sectores estratégicos como las telecomunicaciones, la energía o la salud están sujetos a regulaciones específicas que aseguran una protección robusta de infraestructuras críticas. Estas medidas incluyen requisitos obligatorios de certificación y supervisión, así como la integración de ciberseguridad en la contratación pública.
