Les tensions geopolítiques han elevat a la categoria d'urgent el reforç de la ciberseguretat dels països. El risc d'ingerència estrangera i l'amenaça dels conflictes híbrids obliguen els estats a enfortir aquest flanc, màximament amb una guerra oberta a l'Iran i amb els Estats Units en ple pols retòric contra el Govern d'Espanya per no donar suport a la seva ofensiva. La pregunta és, està Espanya a l'avantguarda per defensar-se de potencials atacs informàtics i intromissions digitals que puguin afectar serveis essencials, processos democràtics o sectors econòmics clau?
El president del Govern, Pedro Sánchez, és perfectament conscient d'aquesta amenaça, no en va, en el paquet que va anunciar fa gairebé un any (l'abril de 2025) per elevar la despesa en Defensa al 2% del PIB, va especificar que un 31% dels 10.471 milions d'euros invertits es dedicarien a elaborar, fabricar i adquirir noves capacitats de telecomunicacions i ciberseguretat.
El propòsit era crear una mena de “escut digital” per garantir la protecció dels drets en aquest àmbit davant de hackers, estimulant el núvol, el 5G, la Intel·ligència Artificial i la computació quàntica.
És tan vital invertir per a enrobustir el "escut digital" com tenir la legislació actualitzada
Tan fonamental com és invertir, ho és mantenir la legislació actualitzada i adaptada a la ràpida evolució tecnològica, dotant les institucions d'eines eficaces per prevenir, detectar i respondre a aquestes amenaces; i aquesta és una assignatura pendent d'Espanya ja que la guerra a l'Iran ha agafat amb la llei de ciberseguretat obsoleta respecte al marc europeu.
Pendents d'una transposició que no arriba
Ja el gener de l'any 2024, l'aleshores ministre de Transformació Digital i de la Funció Pública, José Luis Escrivá (actual governador del Banc d'Espanya), va prometre davant la Comissió de la seva branca al Congrés dels Diputats una nova llei de ciberseguretat que fes les vegades de paraigua normatiu i donés institucionalitat a les intervencions que ja realitzen Interior, Defensa i el Centre Criptològic Nacional. Mai va arribar. I no només no va arribar, sinó que a més, el Govern porta molt de retard regulador en aquesta matèria.
Fa més d'un any que va passar pel Consell de Ministres l'Avantprojecte de Llei de Coordinació i Governança de la Ciberseguretat en primera volta (en concret, el 14 de gener de 2025). Aquesta és la iniciativa a través de la qual l'Executiu pretén transposar la Directiva (UE) 2022/2555, comunament coneguda com a Directiva NIS2, que ja s'hauria d'haver integrat en l'ordenament jurídic espanyol abans d'octubre de 2024.
El retard exposa Espanya a una possible sanció per part del Tribunal de Justícia de la Unió Europea (TJUE), però el més sagnant és que posa en risc els subjectes obligats de la norma per no disposar d'un marc legislatiu específic i definit, generant inseguretat jurídica.
Entitats crítiques
La NIS2 seria d'aplicació per a totes les entitats públiques i privades, que tinguin el seu domicili fiscal a Espanya (o en qualsevol altre Estat membre) i desenvolupin la seva activitat al nostre país. No afecta totes les empreses, però sí una gran majoria d'elles, en concret les enquadrades en sectors considerats d'alta criticitat per al normal funcionament del país:
- Energia (electricitat, gas, petroli, hidrogen).
- Transport (aeri, ferroviari, marítim, carreteres).
- Banca i mercats financers
- Sanitat i productes farmacèutics.
- Aigua potable i aigües residuals.
- Infraestructures digitals i serveis tecnològics (per exemple, centres de dades o serveis DNS).
- Entitats de l'administració pública i sector espacial.
- Indústria nuclear.
Així mateix, exigirà el seu compliment a altres sectors de menys criticitat, com els serveis postals i de missatgeria, la gestió de residus, la producció, transformació i distribució d'aliments; els proveïdors de serveis digitals; la investigació científica i la seguretat privada.
En general, la NIS2 s'aplica a entitats que són empreses mitjanes o grans, és a dir:
- Més de 50 empleats.
- Més de 10 milions de facturació/anuals (o balanç).
No inclou micro i petites empreses (menys de 50 empleats i menor facturació) tret d'excepcions, quan la seva activitat és crítica o són proveïdors únics de serveis essencials.
També pot afectar entitats no europees que presten serveis dins de la UE; i pot incloure casos particulars sense importar la mida (per exemple, proveïdors de serveis de noms de domini de primer nivell, proveïdors de DNS públics o comunicacions electròniques).
Quins tallafocs disposa?
La Directiva NIS2, i en conseqüència, l'Avantprojecte de Llei de Ciberseguretat, no dicta mesures tècniques precises a tall d'estàndard, però sí esbossa obligacions legals clares perquè les entitats afectades reforcin la seva ciberseguretat:
- Mesures de gestió de riscos: Les organitzacions han d'avaluar i mitigar riscos de seguretat de les seves xarxes i sistemes; implementar polítiques i controls organitzatius i tècnics per a protecció contínua; i tenir procediments documentats de gestió de riscos i seguretat.
- Notificació d'incidents: Es disposa d'entre 24 i 72 hores per a notificar incidents significatius a l'autoritat competent.
- Governança i responsabilitat: S'exigeix nomenar responsables de seguretat de la informació i es planteja que els òrgans de direcció assumeixin responsabilitats per possibles incompliments i/o bretxes de seguretat (un assumpte candent sobre el qual aprofundirem més endavant).
- Supervisió i cooperació: Els Estats membre han de supervisar les entitats i establir autoritats nacionals que controlin el compliment, així com col·laborar amb altres països de la UE per a gestió conjunta de riscos.
Un retard justificat?
El Govern és conscient de la importància de reforçar la seguretat davant de ciberatacs i atacs híbrids contra serveis essencials i institucions democràtiques, perpetrats per grups criminals sofisticats o, fins i tot, per part d'altres Estats. Tanmateix, l'Avantprojecte va passar en primera volta pel Consell de Ministres fa més d'un any i no s'han registrat més avenços.
La demora pot ser deguda al fet que Europa prepara un nou paquet de Ciberseguretat (el revelat el passat 20 de gener), i tant aquesta iniciativa com l' Òmnibus Digital sobre IA (en fase de Consulta Pública fins al 8 de febrer) anticipen noves modificacions a la NIS2 i Espanya espera per transposar-ho tot en el mateix articulat, el de Ciberseguretat.
Al Consell d'Estat
El calendari legislatiu a Europa dependrà del ritme de les negociacions interinstitucionals, tot i que Brussel·les aspira que el reglament pugui aprovar-se en els pròxims mesos. Esperarà el Govern d'Espanya per continuar amb la tramitació de la seva llei de Ciberseguretat?
De moment, segons ha pogut saber Demócrata, l'Avantprojecte de Llei de Ciberseguretat aprovat pel Consell de Ministres el gener de 2025 és ara mateix al Consell d'Estat.