El Consell de Ministres ha aprovat este dimarts l'avantprojecte de Llei de Coordinació i Governança de la Ciberseguretat a proposta conjunta dels ministeris de l'Interior, de Defensa i per a la Transformació Digital i de la Funció Pública.
L'objectiu últim d'esta norma, elaborada per la Secretaria d'Estat de Seguretat, és reforçar la protecció de les xarxes i sistemes d'informació que són ja crucials per al desenvolupament de la immensa majoria de les activitats socials i econòmiques actuals, i que estan sotmeses a greus ciberamenazas, nous desafiaments i riscos que requerixen respostes adaptades, coordinades i innovadores.
Quan siga aprovada de manera definitiva, la futura llei incorporarà a l'ordenament jurídic espanyol la Directiva (UE) 2022/2555 del Parlament Europeu i del Consell, de 14 de desembre de 2022, coneguda com NIS-2, que inclou una sèrie de mesures destinades a garantir un elevat nivell comú de ciberseguretat en tota la Unió Europea.
L'avantprojecte aprovat este dimarts precisa que les entitats públiques o privades afectades per esta norma són aquelles que tinguen la seua residència fiscal a Espanya o, que, tenint la seua residència en un altre Estat de la Unió Europea, oferisquen els seus servicis o desenvolupen la seua activitat en el nostre país.
A més, estes entitats hauran d'estar enquadrades en sectors considerats d'alta criticidad per al normal funcionament de la vida social i econòmica del país, com l'energia, el transport, banca i mercats financers, sector sanitari, aigua, infraestructures digitals i servicis tecnològics, entitats de l'administració pública i indústria nuclear.
Altres sectors de menor criticidad recollits en l'avantprojecte són els servicis postals i de missatgeria; la gestió de residus; la fabricació, producció i distribució de substàncies i mescles químiques; la producció, transformació i distribució d'aliments; els proveïdors de servicis digitals; la investigació científica, i la seguretat privada.
Estes entitats hauran de realitzar una avaluació individualitzada del seu risc i posar en marxa una sèrie d'actuacions per a garantir i elevar els nivells de seguretat de les seues xarxes i sistemes d'informació i previndre el risc d'incidents.
A més, estan obligades a notificar els incidents significatius que es produïsquen en la seua operativa o en la prestació dels seus servicis, tant si són xarxes i servicis propis com si pertanyen a proveïdors externs, així com a comunicar al més prompte possible als destinataris dels seus servicis, ja siguen persones físiques o jurídiques, qualsevol ciberamenaza significativa que els puga afectar, així com les mesures o solucions que poden aplicar com a resposta.
L'avantprojecte dissenya la figura del responsable de la seguretat de la informació com a persona o òrgan designat per les entitats encarregat de les funcions de punt de contacte i de coordinació tècnica. En les entitats essencials (les més rellevants en funció de la seua grandària) el responsable de la seguretat de la informació haurà d'obtindre la condició de personal acreditat.
En concret, el responsable de la seguretat de la informació s'encarregarà d'elaborar i sotmetre a l'aprovació de l'organització l'estratègia i polítiques de ciberseguretat; supervisar i desenvolupar l'aplicació d'aquestes polítiques i la seua efectivitat; supervisar el compliment de la normativa aplicable en matèria de seguretat de les xarxes i sistemes d'informació, i gestionar els incidents de ciberseguretat.
Centre Nacional de Ciberseguretat
L'avantprojecte, per la qual cosa al règim de governança es referix, dissenya l'Estratègia Nacional de Ciberseguretat i crea el Centre Nacional de Ciberseguretat, òrgan de contacte únic amb la Unió Europea adscrit a la Secretaria General de Presidència del Govern que s'encarregarà de la direcció, impuls i coordinació en la matèria, garantirà la cooperació intersectorial i transfronterera amb altres autoritats competents i serà autoritat de gestió de les crisis de ciberseguretat.
A més, la norma posa dempeus una sèrie d'autoritats de control encarregades de les funcions de supervisió i execució:
- el Ministeri de l'Interior, a través de l'Oficina de Coordinació de Ciberseguretat de la Secretaria d'Estat de Seguretat,
- el Ministeri de Defensa, a través del Centre Criptològic Nacional del Centre Nacional d'Intel·ligència,
- i el Ministeri per a la Transformació Digital i de la Funció Pública, a través de la Secretaria d'Estat de Telecomunicacions i Infraestructures Digitals i de Digitalització i Intel·ligència Artificial.
La funció d'estes autoritats de control és verificar en els seus sectors el compliment dels estàndards, guies, especificacions i instruccions tècniques de ciberseguretat; comprovar el compliment de les funcions del responsable de la seguretat de la informació i realitzar les comprovacions, inspeccions, proves i revisions necessàries per a comprovar les mesures de seguretat.
A més, l'avantprojecte assenyala una sèrie d'equips de resposta a incidents de ciberseguretat d'entitat entre les comeses de la qual destaquen el seguiment i anàlisi de les ciberamenazas, les vulnerabilitats i els incidents que es detecten a escala nacional, així com prestar assistència, si així ho sol·liciten, a les entitats afectades i respondre així als episodis que afecten a la ciberseguretat.
Estos equips podran també supervisar en temps real o immediat les xarxes i sistemes d'informació d'estes entitats, així com difondre alertes primerenques, avisos i informació sobre les ciberamenazas i les vulnerabilitats detectades.
Tramitació urgent
El Consell de Ministres també ha aprovat este dimarts donar tràmit administratiu d'urgència a l'avantprojecte, perquè puga ser aprovat pel Govern, en segona volta, com més prompte millor i donar immediatament pas al seu debat parlamentari.
En esta fase, Interior recaptarà els informes preceptius dels ministeris de Defensa; per a la Transformació Digital i de la Funció Pública, i d'Hisenda, així com del Departament de Seguretat Nacional.
També se sol·licitarà criteri a altres huit departaments ministerials, així com a l'Oficina de Coordinació i Calidad Normativa, el Banc d'Espanya i l'Agència Espanyola de Protecció de Dades, al costat del preceptiu dictamen del Consell d'Estat.
Interior va a comunicar immediatament l'aprovació d'este avantprojecte a la Comissió Europea, atés que el termini per a la trasposició de la Directiva NIS-2 al dret intern espanyol va véncer el 17 d'octubre de 2024.
