El Gobierno aprueba el anteproyecto de ley que traspone la directiva sobre ciberseguridad

21-01-2025 — AR/2025/006

Esta futura Ley de Coordinación y Gobernanza de la Ciberseguridad busca, como la directiva, reforzar la protección de redes y sistemas de información ante las ciberamenazas.

El Consejo de Ministros aprobó, el 14-1-2025, el anteproyecto de ley de coordinación y gobernanza de la ciberseguridad, presentado conjuntamente por los ministerios del Interior, de Defensa y para la Transformación Digital y de la Función Pública.

El objetivo principal, según recoge el texto, es reforzar la protección de redes y sistemas de información frente a las ciberamenazas.

La futura ley traspondrá la Directiva (UE) 2022/2555¹ (más conocida como NIS-2), que recoge medidas para lograr un alto nivel común de ciberseguridad en la Unión Europea.

El anteproyecto va a seguir una tramitación urgente, dado que el plazo de trasposición de la directiva citada venció en octubre de 2024.

Los aspectos esenciales de esta norma son los descritos a continuación.

Ámbito de aplicación

El anteproyecto afecta a:

entidades públicas y privadas,
que tengan con residencia fiscal en España o que operen en el país, y
de sectores esenciales como energía, transporte, banca, mercados financieros, salud, agua, infraestructura digital, administración pública e industria nuclear.

Influirá también en entidades de sectores de menor criticidad como servicios postales, gestión de residuos, producción alimentaria y de sustancias químicas, investigación científica y seguridad privada.

Obligaciones de las entidades afectadas

Las principales obligaciones de estas entidades son:

Evaluar los riesgos: realizar evaluaciones individualizadas para certificar la seguridad de sus redes y sistemas.
Notificar los incidentes: informar sobre incidentes significativos, propios o de proveedores.
Comunicar las ciberamenazas: alertar a los destinatarios de servicios afectados por ciberamenazas y ofrecer soluciones para mitigarlas.

Responsable de la seguridad de la información

El anteproyecto crea la figura del responsable de la seguridad de la información, que será el encargado de:

elaborar estrategias y políticas de ciberseguridad,
supervisar el cumplimiento normativo, y
gestionar incidentes de ciberseguridad.

En entidades de sectores esenciales, este responsable deberá contar con acreditación oficial.

Estrategia nacional de ciberseguridad y gobernanza

El borrador de norma crea también el Centro Nacional de Ciberseguridad, adscrito a la Secretaría General de Presidencia del Gobierno, que será el punto de contacto con la UE y coordinará las acciones nacionales.

Equipos de respuesta a incidentes

Estos equipos tendrán las responsabilidades de:

monitorizar ciberamenazas y vulnerabilidades nacionales,
prestar asistencia a las entidades afectadas emitiendo alertas tempranas cuando sea necesario, y
supervisar en tiempo real las redes y sistemas de información, para lograr una respuesta ágil y efectiva ante posibles incidentes.

¹ Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión, por la que se modifican el Reglamento (UE) n.º 910/2014 y la Directiva (UE) 2018/1972 y por la que se deroga la Directiva (UE) 2016/1148 (Directiva SRI 2).

El Gobierno aprueba el anteproyecto de ley que traspone la directiva sobre ciberseguridad

Esta futura Ley de Coordinación y Gobernanza de la Ciberseguridad busca, como la directiva, reforzar la protección de redes y sistemas de información ante las ciberamenazas.

Ámbito de aplicación

Obligaciones de las entidades afectadas

Responsable de la seguridad de la información

Estrategia nacional de ciberseguridad y gobernanza

Equipos de respuesta a incidentes

Iniciativas relacionadas

Alertas Relacionadas

Documentos vinculados

Ámbitos

Más información