El Consejo de Ministros ha aprobado el anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad, una norma que busca reforzar la protección de las redes y sistemas de información esenciales para la sociedad y la economía frente a las crecientes ciberamenazas. Este anteproyecto, propuesto de manera conjunta por los Ministerios del Interior, Defensa y Transformación Digital y de la Función Pública, transpone la Directiva (UE) 2022/2555 (NIS-2) al ordenamiento jurídico español.
Objetivo: un elevado nivel de ciberseguridad
La futura ley, que se tramitará de forma urgente, tiene como objetivo garantizar un nivel común de ciberseguridad en toda la Unión Europea, tal y como establece la Directiva NIS-2. La norma afectará tanto a entidades públicas como privadas con residencia fiscal en España o que, desde otros países de la UE, ofrezcan servicios o desarrollen actividades en territorio español.
Sectores clave afectados
El anteproyecto identifica como prioritarios sectores considerados críticos para el funcionamiento de la sociedad y la economía, tales como:
- Energía, transporte, banca y mercados financieros
- Sanidad, agua, infraestructuras digitales y servicios tecnológicos
- Administración pública e industria nuclear
Asimismo, incluye otros sectores de menor criticidad, como los servicios postales y de mensajería, la gestión de residuos, la fabricación de sustancias químicas, la industria alimentaria, la seguridad privada y la investigación científica.
Obligaciones de las entidades afectadas
Las organizaciones incluidas en el alcance de esta normativa deberán:
- Evaluar riesgos y adoptar medidas para garantizar la seguridad de sus redes y sistemas de información.
- Notificar incidentes significativos a las autoridades competentes y a sus usuarios, informando sobre ciberamenazas y posibles soluciones.
- Designar un responsable de la seguridad de la información, encargado de desarrollar políticas de ciberseguridad, supervisar su cumplimiento y gestionar incidentes.
En las entidades consideradas esenciales, este responsable deberá contar con una acreditación específica.
Creación del Centro Nacional de Ciberseguridad
El anteproyecto prevé la creación del Centro Nacional de Ciberseguridad, adscrito a la Secretaría General de Presidencia del Gobierno. Este centro actuará como órgano de dirección, coordinación e impulso en materia de ciberseguridad. Además, será el punto de contacto único con la Unión Europea y la autoridad encargada de gestionar crisis de ciberseguridad que afecten al país.
El Centro Nacional trabajará en cooperación con otras autoridades y coordinará esfuerzos entre sectores críticos y actores internacionales, garantizando una respuesta integrada ante amenazas transfronterizas.
Supervisión y respuesta ante incidentes
El anteproyecto asigna funciones de supervisión y control a varias autoridades, entre ellas:
- Ministerio del Interior, a través de la Oficina de Coordinación de Ciberseguridad.
- Ministerio de Defensa, mediante el Centro Criptológico Nacional.
- Ministerio para la Transformación Digital y la Función Pública, a través de las Secretarías de Estado de Telecomunicaciones y Digitalización.
Además, se establecerán equipos de respuesta a incidentes encargados de:
- Supervisar en tiempo real las ciberamenazas.
- Ofrecer asistencia técnica a entidades afectadas.
- Difundir alertas tempranas sobre vulnerabilidades detectadas.
Tramitación urgente y próximas fases
El anteproyecto se tramitará con carácter urgente debido a la necesidad de transponer la Directiva NIS-2, cuyo plazo venció en octubre de 2024. El Gobierno recabará informes de diversos ministerios, el Banco de España, la Agencia Española de Protección de Datos y el Consejo de Estado antes de su remisión al Parlamento.
Interior ya ha comunicado la aprobación del anteproyecto a la Comisión Europea, reafirmando el compromiso de España con el fortalecimiento de la ciberseguridad como una prioridad nacional e internacional.
Artículo redactado con asistencia de IA (Ref. APA: OpenAI. (2025). ChatGPT (versión GPT-4). OpenAI). Photo by Growtika (CC)