El Consell de Ministres ha aprovat aquest dimarts l'avantprojecte de Llei de Coordinació i Governança de la Ciberseguretat a proposta conjunta dels ministeris de l'Interior, de Defensa i per a la Transformació Digital i de la Funció Pública.
L'objectiu últim d'aquesta norma, elaborada per la Secretaria d'Estat de Seguretat, és reforçar la protecció de les xarxes i sistemes d'informació que són ja crucials per al desenvolupament de la immensa majoria de les activitats socials i econòmiques actuals, i que estan sotmeses a greus ciberamenazas, nous desafiaments i riscos que requereixen respostes adaptades, coordinades i innovadores.
Quan sigui aprovada de manera definitiva, la futura llei incorporarà a l'ordenament jurídic espanyol la Directiva (UE) 2022/2555 del Parlament Europeu i del Consell, de 14 de desembre de 2022, coneguda com NIS-2, que inclou una sèrie de mesures destinades a garantir un elevat nivell comú de ciberseguretat en tota la Unió Europea.
L'avantprojecte aprovat aquest dimarts precisa que les entitats públiques o privades afectades per aquesta norma són aquelles que tinguin la seva residència fiscal a Espanya o, que, tenint la seva residència en un altre Estat de la Unió Europea, ofereixin els seus serveis o desenvolupin la seva activitat al nostre país.
A més, aquestes entitats hauran d'estar enquadrades en sectors considerats d'alta criticidad per al normal funcionament de la vida social i econòmica del país, com l'energia, el transport, banca i mercats financers, sector sanitari, aigua, infraestructures digitals i serveis tecnològics, entitats de l'administració pública i indústria nuclear.
Altres sectors de menor criticidad recollits en l'avantprojecte són els serveis postals i de missatgeria; la gestió de residus; la fabricació, producció i distribució de substàncies i mescles químiques; la producció, transformació i distribució d'aliments; els proveïdors de serveis digitals; la recerca científica, i la seguretat privada.
Aquestes entitats hauran de realitzar una avaluació individualitzada del seu risc i engegar una sèrie d'actuacions per garantir i elevar els nivells de seguretat de les seves xarxes i sistemes d'informació i prevenir el risc d'incidents.
A més, estan obligades a notificar els incidents significatius que es produeixin en la seva operativa o en la prestació dels seus serveis, tant si són xarxes i serveis propis com si pertanyen a proveïdors externs, així com a comunicar al més aviat possible als destinataris dels seus serveis, ja siguin persones físiques o jurídiques, qualsevol ciberamenaza significativa que els pugui afectar, així com les mesures o solucions que poden aplicar com a resposta.
L'avantprojecte dissenya la figura del responsable de la seguretat de la informació com a persona o òrgan designat per les entitats encarregat de les funcions de punt de contacte i de coordinació tècnica. En les entitats essencials (les més rellevants en funció de la seva grandària) el responsable de la seguretat de la informació haurà d'obtenir la condició de personal acreditat.
En concret, el responsable de la seguretat de la informació s'encarregarà d'elaborar i sotmetre a l'aprovació de l'organització l'estratègia i polítiques de ciberseguretat; supervisar i desenvolupar l'aplicació d'aquestes polítiques i la seva efectivitat; supervisar el compliment de la normativa aplicable en matèria de seguretat de les xarxes i sistemes d'informació, i gestionar els incidents de ciberseguretat.
Centre Nacional de Ciberseguretat
L'avantprojecte, per la qual cosa al règim de governança es refereix, dissenya l'Estratègia Nacional de Ciberseguretat i crea el Centre Nacional de Ciberseguretat, òrgan de contacte únic amb la Unió Europea adscrit a la Secretaria General de Presidència del Govern que s'encarregarà de l'adreça, impuls i coordinació en la matèria, garantirà la cooperació intersectorial i transfronterera amb altres autoritats competents i serà autoritat de gestió de les crisis de ciberseguretat.
A més, la norma posa en peus una sèrie d'autoritats de control encarregades de les funcions de supervisió i execució:
- el Ministeri de l'Interior, a través de l'Oficina de Coordinació de Ciberseguretat de la Secretaria d'Estat de Seguretat,
- el Ministeri de Defensa, a través del Centre Criptològic Nacional del Centre Nacional d'Intel·ligència,
- i el Ministeri per a la Transformació Digital i de la Funció Pública, a través de la Secretaria d'Estat de Telecomunicacions i Infraestructures Digitals i de Digitalització i Intel·ligència Artificial.
La funció d'aquestes autoritats de control és verificar en els seus sectors el compliment dels estàndards, guies, especificacions i instruccions tècniques de ciberseguretat; comprovar el compliment de les funcions del responsable de la seguretat de la informació i realitzar les comprovacions, inspeccions, proves i revisions necessàries per comprovar les mesures de seguretat.
A més, l'avantprojecte assenyala una sèrie d'equips de resposta a incidents de ciberseguretat d'entitat entre les comeses de la qual destaquen el seguiment i anàlisi de les ciberamenazas, les vulnerabilitats i els incidents que es detectin a escala nacional, així com prestar assistència, si així ho sol·liciten, a les entitats afectades i respondre així als episodis que afectin a la ciberseguretat.
Aquests equips podran també supervisar en temps real o immediat les xarxes i sistemes d'informació d'aquestes entitats, així com difondre alertes primerenques, avisos i informació sobre les ciberamenazas i les vulnerabilitats detectades.
Tramitació urgent
El Consell de Ministres també ha aprovat aquest dimarts donar tràmit administratiu d'urgència a l'avantprojecte, perquè pugui ser aprovat pel Govern, en segona volta, al més aviat possible i donar immediatament pas al seu debat parlamentari.
En aquesta fase, Interior recaptarà els informes preceptius dels ministeris de Defensa; per a la Transformació Digital i de la Funció Pública, i d'Hisenda, així com del Departament de Seguretat Nacional.
També se sol·licitarà criteri a altres vuit departaments ministerials, així com a l'Oficina de Coordinació i Calidad Normativa, el Banc d'Espanya i l'Agència Espanyola de Protecció de Dades, al costat del preceptiu dictamen del Consell d'Estat.
Interior va a comunicar immediatament l'aprovació d'aquest avantprojecte a la Comissió Europea, atès que el termini per a la trasposició de la Directiva NIS-2 al dret intern espanyol va vèncer el 17 d'octubre de 2024.
