
Fernando Grande-Marlaska, ministro del Interior, en el atril del Congreso de los Diputados.
España traspone la NIS2 con una ley de ciberseguridad propia tres meses después de que cumpla el plazo europeo
El Ejecutivo ha aprobado el anteproyecto de la Ley de Coordinación y Gobernanza de la Ciberseguridad, que debía haberse presentado antes del final de 2024.
Más información: El Gobierno aprueba el anteproyecto de la nueva ley de ciberseguridad española
Hace menos de 24 horas que se materializó el que será distinguido como uno de los grandes hitos normativos de España de este año, del que apenas han transcurrido 15 días. Ayer, el Consejo aprobó el anteproyecto de la Ley de Coordinación y Gobernanza de la Ciberseguridad, es decir, la ley de ciberseguridad que el Gobierno prometió para antes de que acabase el ejercicio anterior.
La primera vez que se oyó hablar de esta normativa fue a principios de 2024 en boca de José Luis Escrivá, cuando este ocupaba el puesto de ministro para la Transformación Digital y de la Función Pública y, dos meses después de su nombramiento, presentó en la Comisión de Economía, Comercio y Transformación Digital las líneas estratégicas para su mandato al frente de dicha cartera.
En su intervención, más allá de referir su intención de impulsar la inteligencia artificial y su uso ético, el desarrollo de las capacidades tecnológicas del país o la transformación de la Administración Pública, prometió el despliegue de dos cuerpos normativos, por un lado, un marco regulatorio para promover centros de datos más sostenibles y, por otro, una nueva ley centrada en la ciberseguridad.
En ese momento, Escrivá apenas dio información sobre esta norma, tan solo señaló que aparecía con el objetivo de dar "una visión integral" a los retos en materia de ciberseguridad, reduciendo la posibilidad de los ataques, acelerando el tiempo de respuesta y minimizando su impacto, así como complementando a otras ya existentes. También, prometió que esta entraría en tramitación en algún momento durante el segundo semestre de ese año (es decir, antes de 2025).
No obstante, el tiempo pasaba y las noticias al respecto eran escasas. En ese período el exministro se refirió a esta futura ley en contadas ocasiones, en las que destacó su carácter preventivo, su inclusión en la renovada Estrategia Nacional de Inteligencia Artificial o que actuaría como paraguas de los diferentes organismos relacionados con la ciberseguridad en España, mejorando la coordinación entre todos ellos. Más allá de esta información, los tiempos para sacar adelante la regulación eran desconocidos.
Entonces, todo cambió. Los rumores sobre la posible salida de Escrivá al Banco de España como gobernador terminaron por confirmarse con la llegada del mes de septiembre y, como consecuencia, apareció en escena la figura de Óscar López, que hasta ese momento había formado parte del Gabinete del presidente del Gobierno, como nuevo ministro para la Transformación Digital y de la Función Pública.
De la misma forma que Escrivá, López presentó las líneas generales de su departamento ante el Congreso de los Diputados un mes después de llegar al cargo, en octubre de 2024. En su discurso, el nuevo ministro mostró una línea continuista con las propuestas de su antecesor, incluyendo el despliegue de la mencionada norma de ciberseguridad con la que hacer frente a las ciberamenazas desde territorio nacional.
A mediados de noviembre, DISRUPTORES preguntó directamente al Gobierno sobre la situación de la legislación, de la que seguían sin conocerse los detalles. Fuentes del Ejecutivo afirmaron a este medio que estaban trabajando "de forma discreta" y "con un criterio de máximo sentido de Estado" para desarrollar "la mejor y más robusta ley de ciberseguridad".
Sin embargo, el tiempo prometido por Escrivá en su momento se cumplió, finalizó el año, y España seguía sin la legislación para protegerse de los ciberataques.
Tirón de orejas europeo
No ha sido hasta ahora, casi 15 días después de comenzar el año, cuando esta ley ha vuelto a la palestra informativa. Ayer, en la rueda de prensa posterior al Consejo de Ministros, el ministro del Interior, Fernando Grande-Marlaska, anunció la aprobación del anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad, la norma con la que, efectivamente, España busca hacer frente a las ciberamenazas que ponen en riesgo el funcionamiento redes y los sistemas de información en sectores críticos.
Además de algunos de los pormenores de la regulación, Grande-Marlaska explicó que habían decidido aprobar su tramitación por la vía de urgencia para que esta pueda ser aprobada en segunda vuelta "cuanto antes". Pero, ¿por qué tanta prisa?
Lo cierto es que la ley presentada por el Ejecutivo "tiene miga", ya que no es solo una legislación que afecte a España, sino que la norma funciona como una trasposición de la Directiva de Seguridad de Red e Información 2 (NIS2). Esta norma busca establecer un marco común de ciberseguridad entre los estados miembros, armonizando las medidas y protegiendo las infraestructuras digitales, ampliando las obligaciones a sectores críticos.
La legislación europea fue aprobada formalmente en noviembre de 2022 y entró en vigor el 16 de enero de 2023, 20 días después de su publicación en el Diario Oficial de la UE (DOUE). Entonces, se abrió un período de transición en el que los estados miembros debían adoptar y publicar las medidas necesarias para dar cumplimiento a lo establecido en la directiva.
El plazo se cumplió el 17 de octubre de 2024, fecha límite marcada por Europa, fecha en la que, por entonces, España seguía sin ley. Así, con el anteproyecto recién presentado, que, de acuerdo con el Ministerio de Interior, "se va a comunicar de inmediato" a la Comisión Europea, el país pretende adherirse por fin a las reglas comunitarias y evitar posibles represalias. De ahí, la urgencia de la tramitación.
¿Problemas de coordinación?
Una de las dudas que surgen tras el anuncio de este anteproyecto son las razones que han motivado el retraso de este reglamento, que ya se tenía en mente desde hace tiempo. A pesar de que las respuestas solo las conocen los implicados, fuentes expertas del sector mencionan la posible falta de coordinación entre los actores involucrados para la puesta en marcha del reglamento.
Y es que, tal y como apuntó Escrivá en su momento, la norma se pensó como un paraguas de los diferentes organismos relacionados con la ciberseguridad en España, ordenando sus ámbitos de actuación y estableciendo con exactitud sus responsabilidades para lograr una mejor coordinación entre todos. Entre ellos, se citan algunos como el propio ministerio, el Instituto Nacional de Ciberseguridad (INCIBE), el Departamento de Seguridad Nacional (dentro de Presidencia del Gobierno), el Centro Criptológico Nacional (que se encuentra dentro del Centro Nacional de Inteligencia) e incluso la Policía Nacional o la Guardia Civil, entre otros.
Con tantos agentes involucrados no es de extrañar que haya dificultad para lograr unanimidad sobre las competencias que corresponden a cada uno de ellos. Por eso, quizás, López apeló al consenso para conseguir esta normativa en la presentación de sus líneas estratégicas, en la misma línea que el comentario que fuentes del Ejecutivo hicieron a este medio hace apenas unos meses, donde señalaron que estaban "trabajando y dialogando de forma discreta" para lograr el consenso necesario.
Una ley y tres ministerios
La ley presentada esta semana corta de raíz esta posible problemática e introduce la figura del Centro Nacional de Ciberseguridad, que será el organismo encargado del impulso y la coordinación de este mecanismo y de la gestión de las crisis que puedan producirse en este campo.
La supervisión de esta entidad correrá a cargo de tres autoridades: el Ministerio de Interior a través de la oficina de Coordinación de ciberseguridad de la secretaría de Estado de Seguridad; el Ministerio de Defensa a través del Centro Criptológico Nacional del Centro Nacional de Inteligencia; y el Ministerio de la Transformación Digital y para la Función Pública a través de la secretaría de Estado de Telecomunicaciones e Infraestructuras Digitales y de la secretaría de Estado de Digitalización e Inteligencia Artificial. Estos tres órganos controlarán el cumplimiento de los estándares en los sectores afectados y comprobarán que se toman las medidas adecuadas.
Además, en su período de tramitación, Grande-Marlaska ha afirmado que se pondrán en contacto con el resto de entidades y organismos afectados por la medida más allá de los ministerios citados, como el Departamento de Seguridad Nacional o la Agencia Española de Protección de Datos.
Pinceladas de la ley
Este anteproyecto tiene como finalidad reforzar la protección de las redes y sistemas de información que son cruciales para el desarrollo de las actividades sociales y económicas actuales, y que están sometidas a graves ciberamenazas.
A pesar de que aún no se conocen sus particularidades concretas, el ministro de Interior ha avanzado que esta norma afectará a las entidades públicas o privadas de ciertos sectores considerados de "alta criticidad" que tengan su residencia fiscal en España o, que, teniendo su residencia en otro Estado de la Unión Europea, ofrezcan sus servicios o desarrollen su actividad en este país. Entre las industrias mencionadas se encuentran la energía, el transporte, banca y mercados financieros, sector sanitario, agua, infraestructuras digitales y servicios tecnológicos, entidades de la administración pública e industria nuclear.
También, se verán afectadas áreas de menor criticidad como los servicios postales y de mensajería; la gestión de residuos; la fabricación, producción y distribución de sustancias y mezclas químicas; la producción, transformación y distribución de alimentos; los proveedores de servicios digitales; la investigación científica, y la seguridad privada.
Estas entidades deberán realizar una evaluación individualizada de su riesgo y poner en marcha una serie de actuaciones para garantizar y elevar los niveles de seguridad de sus redes y sistemas de información y prevenir el riesgo de incidentes. Además, están obligadas a notificar los incidentes significativos, tanto los propios como si pertenecen a proveedores externos, así como a comunicar a la mayor brevedad a los destinatarios de sus servicios cualquier ciberamenaza y las medidas o soluciones que pueden aplicar.
El anteproyecto introduce la figura del responsable de la seguridad de la información como persona u órgano designado por las entidades encargado de las funciones de punto de contacto y de coordinación técnica. Este se encargará de elaborar y someter a la aprobación de la organización la estrategia y políticas de ciberseguridad; supervisar y desarrollar la aplicación de dichas políticas y su efectividad; supervisar el cumplimiento de la normativa aplicable en materia de seguridad de las redes y sistemas de información, y gestionar los incidentes de ciberseguridad.