El Gobierno de España ha dado un paso decisivo en la protección del ciberespacio con la aprobación del Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad. Esta normativa busca mejorar la respuesta ante amenazas digitales, reforzar la cooperación institucional y garantizar la seguridad en redes y sistemas de información críticos.
Un marco normativo adaptado a los nuevos desafíos digitales
La ciberseguridad es un pilar fundamental para la estabilidad económica y social en un mundo hiperconectado. El incremento de ciberamenazas y ataques a infraestructuras críticas ha hecho necesaria una actualización del marco legal vigente. Este anteproyecto transpone la Directiva (UE) 2022/2555 sobre ciberseguridad en la Unión Europea, mejorando la resiliencia digital de empresas e instituciones públicas.
¿Qué regula esta nueva ley?
El anteproyecto establece un marco estratégico e institucional para la gestión de la ciberseguridad en España. Sus puntos clave incluyen:
Creación del Centro Nacional de Ciberseguridad (CNC) como autoridad nacional única en materia de gobernanza de la ciberseguridad. Este organismo dirigirá y coordinará las actuaciones en el ámbito digital, supervisará las entidades clave y gestionará incidentes de gran impacto.
Clasificación de entidades esenciales e importantes para determinar qué organizaciones deben cumplir con medidas de seguridad reforzadas. Se priorizan sectores estratégicos como telecomunicaciones, energía, transporte, financiero y sanidad.
Obligaciones de notificación de incidentes . Las entidades afectadas deberán reportar incidentes de ciberseguridad significativos en un plazo determinado, facilitando la respuesta rápida y minimizando daños.
Sanciones por incumplimiento . Se establecen medidas sancionadoras contra las organizaciones que no adopten medidas adecuadas de protección o que no notifiquen incidentes relevantes.
Refuerzo de la cooperación internacional. Se fomentará el intercambio de información sobre ciberamenazas con otros países de la UE y la Agencia de Ciberseguridad de la Unión Europea (ENISA).
Protección de infraestructuras digitales críticas y cooperación interinstitucional
Uno de los pilares del anteproyecto es la protección de infraestructuras digitales esenciales y la coordinación entre organismos públicos y privados para prevenir ataques y responder eficazmente a crisis de ciberseguridad.
Equipos de respuesta a incidentes (CSIRT):
Se establecen CSIRT nacionales de referencia, como el INCIBE-CERT, el CCN-CERT y el ESPDEF-CERT, para la gestión y resolución de incidentes críticos.
Se define un marco de actuación para incidentes de alto impacto que afecten a sectores estratégicos o servicios esenciales.
Supervisión y control
El Centro Nacional de Ciberseguridad asumirá la dirección y coordinación de la supervisión de entidades esenciales.
Se establecen registros obligatorios de entidades de naturaleza transfronteriza, incluyendo proveedores de servicios digitales y telecomunicaciones.
Intercambio de información y gestión de crisis
Creación de la Plataforma Nacional de Notificación y Seguimiento de Ciberincidentes para centralizar la información sobre ataques y vulnerabilidades.
Colaboración obligatoria entre administraciones públicas y empresas privadas para fortalecer la respuesta a amenazas.
Un régimen sancionador para garantizar el cumplimiento.
El anteproyecto establece un régimen sancionador con infracciones leves, graves y muy graves, incluyendo multas proporcionales al daño causado.
Infracciones muy graves:
No adoptar medidas de ciberseguridad obligatorias.
No notificar incidentes críticos que puedan afectar a la seguridad nacional.
Sanciones:
Se prevén multas económicas significativas en función del tipo de infracción y el impacto en la seguridad digital del país.
España como referente en ciberseguridad en Europa
Con esta ley, España se sitúa a la vanguardia de la regulación en ciberseguridad en la UE, adelantándose a la obligación europea de establecer entornos controlados de pruebas para la seguridad digital.
El anteproyecto refleja el compromiso del país con una transformación digital segura, resiliente y alineada con los estándares europeos e internacionales.
El anteproyecto de ley completo puede consultarse aquí.
