O Consello de Ministros aprobou este martes o anteproxecto de Lei de Coordinación e Gobernación da Ciberseguridade a proposta conxunta dos ministerios do Interior, de Defensa e para a Transformación Dixital e da Función Pública.
O obxectivo último desta norma, elaborada pola Secretaría de Estado de Seguridade, é reforzar a protección das redes e sistemas de información que son xa cruciais para o desenvolvemento da inmensa maioría das actividades sociais e económicas actuais, e que están sometidas a graves ciberamenazas, novos desafíos e riscos que requiren respostas adaptadas, coordinadas e innovadoras.
Cando sexa aprobada de maneira definitiva, a futura lei incorporará ao ordenamento xurídico español a Directiva (UE) 2022/2555 do Parlamento Europeo e do Consello, do 14 de decembro de 2022, coñecida como NIS-2, que inclúe unha serie de medidas destinadas a garantir un elevado nivel común de ciberseguridade en toda a Unión Europea.
O anteproxecto aprobado este martes precisa que as entidades públicas ou privadas afectadas por esta norma son aquelas que teñan a súa residencia fiscal en España ou, que, tendo a súa residencia noutro Estado da Unión Europea, ofrezan os seus servizos ou desenvolver a súa actividade no noso país.
Ademais, estas entidades deberán estar encadradas en sectores considerados de alta criticidad para o normal funcionamento da vida social e económica do país, como a enerxía, o transporte, banca e mercados financeiros, sector sanitario, auga, infraestruturas dixitais e servizos tecnolóxicos, entidades da administración pública e industria nuclear.
Outros sectores de menor criticidad recollidos no anteproxecto son os servizos postais e de mensaxería; a xestión de residuos; a fabricación, produción e distribución de sustancias e mesturas químicas; a produción, transformación e distribución de alimentos; os provedores de servizos dixitais; a investigación científica, e a seguridade privada.
Estas entidades deberán realizar unha avaliación individualizada do seu risco e pór en marcha unha serie de actuacións para garantir e elevar os niveis de seguridade das súas redes e sistemas de información e previr o risco de incidentes.
Ademais, están obrigadas a notificar os incidentes significativos que se produzan na súa operativa ou na prestación dos seus servizos, tanto se son redes e servizos propios coma se pertencen a provedores externos, así como a comunicar o máis axiña posible aos destinatarios dos seus servizos, xa sexan persoas físicas ou xurídicas, calquera ciberamenaza significativa que lles poida afectar, así como as medidas ou solucións que poden aplicar como resposta.
O anteproxecto deseña a figura do responsable da seguridade da información como persoa ou órgano designado polas entidades encargado das funcións de punto de contacto e de coordinación técnica. Nas entidades esenciais (as máis relevantes en función do seu tamaño) o responsable da seguridade da información deberá obter a condición de persoal acreditado.
En concreto, o responsable da seguridade da información encargarase de elaborar e someter á aprobación da organización a estratexia e políticas de ciberseguridade; supervisar e desenvolver a aplicación de ditas políticas e a súa efectividade; supervisar o cumprimento da normativa aplicable en materia de seguridade das redes e sistemas de información, e xestionar os incidentes de ciberseguridade.
Centro Nacional de Ciberseguridade
O anteproxecto, polo que ao réxime de gobernación refírese, deseña a Estratexia Nacional de Ciberseguridade e crea o Centro Nacional de Ciberseguridade, órgano de contacto único coa Unión Europea adscrito á Secretaría Xeral de Presidencia do Goberno que se encargará da dirección, impulso e coordinación na materia, garantirá a cooperación intersectorial e transfronteiriza con outras autoridades competentes e será autoridade de xestión das crises de ciberseguridade.
Ademais, a norma pon en pé unha serie de autoridades de control encargadas das funcións de supervisión e execución:
- o Ministerio do Interior, a través da Oficina de Coordinación de Ciberseguridade da Secretaría de Estado de Seguridade,
- o Ministerio de Defensa, a través do Centro Criptolóxico Nacional do Centro Nacional de Intelixencia,
- e o Ministerio para a Transformación Dixital e da Función Pública, a través da Secretaría de Estado de Telecomunicacións e Infraestruturas Dixitais e de Dixitalización e Intelixencia Artificial.
A función destas autoridades de control é verificar nos seus sectores o cumprimento dos estándares, guías, especificacións e instrucións técnicas de ciberseguridade; comprobar o cumprimento das funcións do responsable da seguridade da información e realizar as comprobacións, inspeccións, probas e revisións necesarias para comprobar as medidas de seguridade.
Ademais, o anteproxecto sinala unha serie de equipos de resposta a incidentes de ciberseguridade de entidade entre cuxos labores destacan o seguimento e análise das ciberamenazas, as vulnerabilidades e os incidentes que se detecten a escala nacional, así como prestar asistencia, se así o solicitan, ás entidades afectadas e responder así os episodios que afecten á ciberseguridade.
Estes equipos poderán tamén supervisar en tempo real ou inmediato as redes e sistemas de información destas entidades, así como difundir alertas temperás, avisos e información sobre as ciberamenazas e as vulnerabilidades detectadas.
Tramitación urxente
O Consello de Ministros tamén aprobou este martes dar trámite administrativo de urxencia ao anteproxecto, para que poida ser aprobado polo Goberno, en segunda volta, canto antes e dar de inmediato paso ao seu debate parlamentario.
Nesta fase, Interior solicitará os informes preceptivos dos ministerios de Defensa; para a Transformación Dixital e da Función Pública, e de Facenda, así como do Departamento de Seguridade Nacional.
Tamén se solicitará criterio a outro oito departamentos ministeriais, así como á Oficina de Coordinación e Calidad Normativa, o Banco de España e a Axencia Española de Protección de Datos, xunto ao preceptivo ditame do Consello de Estado.
Interior vai comunicar de inmediato a aprobación deste anteproxecto á Comisión Europea, dado que o prazo para a trasposición da Directiva NIS-2 ao dereito interno español venceu o 17 de outubro de 2024.
