El Gobierno de España ha publicado para audiencia e información pública el anteproyecto de Ley de coordinación y gobernanza de la ciberseguridad, que transpone la Directiva (UE) 2022/2555, también conocida como Directiva NIS2. Este marco normativo tiene como objetivo reforzar la seguridad de las redes y los sistemas de información a lo largo de la Unión Europea y dará continuidad a los progresos logrados con la anterior Directiva NIS de 2016.

La Directiva NIS2, publicada en diciembre de 2022, introduce cambios significativos para abordar los crecientes desafíos en materia de ciberseguridad. Entre sus principales objetivos está la creación de un nivel común de protección en toda la Unión, eliminar las disparidades normativas entre los Estados miembros y reforzar la cooperación transfronteriza.

Principales novedades del anteproyecto de Ley

El anteproyecto destaca por incluir medidas clave para cumplir con la Directiva NIS2:

Ad
  1. Creación de una Autoridad Nacional Competente única: Se establecerá un Departamento Nacional de Ciberseguridad encargado de dirigir y coordinar las actividades en esta materia. Este organismo también actuará como punto de contacto único para cooperación internacional y gestión de crisis cibernéticas.
  2. Clasificación de entidades: Se definirá un criterio uniforme para determinar qué organizaciones estarán sujetas a la normativa. Estas se dividirán en entidades esenciales (como sectores críticos) y entidades importantes, según su tamaño y relevancia.
  3. Refuerzo de medidas de ciberseguridad: El marco introduce una lista ampliada de requisitos, que incluye gestión de riesgos, pruebas de seguridad, divulgación de vulnerabilidades, uso de cifrado y respuestas coordinadas a incidentes.
  4. Notificación de incidentes: Se establece un procedimiento más estricto para la notificación de incidentes relevantes, incluyendo plazos y formatos uniformes en toda la Unión. En España, estas notificaciones se realizarán mediante la Plataforma Nacional de Notificación y Seguimiento de Ciberincidentes.
  5. Responsable de seguridad de la información: Las entidades esenciales e importantes deberán designar a una persona u órgano que actúe como punto de contacto y coordinador en materia de ciberseguridad.
  6. Coordinación con otras normativas: El anteproyecto se alinea con la Directiva sobre resiliencia de entidades críticas y actualiza el marco existente, como el Real Decreto-Ley 12/2018, de seguridad de redes y sistemas de información.

Impacto esperado y retos

La norma tiene implicaciones económicas, administrativas y sociales significativas para un mejor funcionamiento ante las amenazas cibernéticas existentes en la actualidad:

  • Impacto positivo en la economía: Se espera que la mejora en ciberseguridad incremente la confianza de los usuarios y reduzca los costes asociados a los ciberincidentes especialmente en las empresas.
  • Cargas administrativas: Aunque introduce nuevas obligaciones para las entidades afectadas, también estandariza procedimientos que facilitan la gestión.
  • Protección de datos personales: Refuerza la protección de datos al exigir medidas más estrictas para evitar fugas y vulnerabilidades.

A pesar de los avances logrados con la Directiva NIS1, quedan retos importantes. La fragmentación normativa entre los Estados miembros ha generado en determinados momentos diferentes vías de actuación que esta nueva ley busca resolver.

Además, la creciente sofisticación de las ciberamenazas requiere soluciones más innovadoras y colaborativas. Otro reto será garantizar la preparación de las entidades incluidas en el ámbito de aplicación de la ley, especialmente aquellas que no han adoptado medidas avanzadas de ciberseguridad.

Proceso de consulta y participación

El anteproyecto de Ley está abierto a contribuciones del público y entidades interesadas hasta el 10 de febrero. Esta fase busca recopilar observaciones y propuestas para garantizar que la normativa sea inclusiva y efectiva. Los comentarios pueden realizarse a través del portal oficial de transparencia.

El texto también ha sido sometido a informes de diferentes ministerios y organismos, como la Agencia Española de Protección de Datos y el Consejo de Estado. Esta revisión multidisciplinar pretende asegurar que el marco legal sea compatible con las normativas existentes y se adecúe al orden constitucional.

MLuz Domínguez
MLuz Domínguez
Periodista especializada en ciberseguridad y tecnología. Mi enfoque se centra en analizar mundo de las aplicaciones y la seguridad especialmente en redes sociales. Con un interés constante en informar sobre avances, riesgos y sin olvidar la importancia de la prevención, busco compartir información precisa y comprensible para el usuario.

Artículos relacionadosMás del autor

Deja un comentario

Por favor, introduce tu comentario
Por favor, introduce tu nombre