Es Tendencia
Ataque a Irán
Donald Trump
Decreto-ley anticrisis
Encuestas
CCOO
Pensiones 2026
Ataque a Irán
Pablo Bustinduy
Irán
Juanma moreno
Abusos sexuales
Viktor orbán
Defensa europea
SEPE
Comisión Europea
Francisco camps
Comisión Europea
Sectores Sanidad Defensa Digital & IA Agricultura & Alimentación Textil Economía & Finanzas Industria & Sostenibilidad Energía Vivienda
Internacional

La guerra en Irán pilla a España con la ley de Ciberseguridad desactualizada

El Gobierno tiene pendiente transponer la Directiva NIS2 desde octubre del 2024. Ya hay un Anteproyecto sobre la mesa, pero se estaría esperando al nuevo paquete europeo de Ciberseguridad y al Ómnibus Digital sobre IA

5 minutos

Ilustración Demócrata.

Ilustración Demócrata.

Comparte

Comenta

Publicado

Última actualización

5 minutos

Más leídas

En directo

Guerra con Irán

  • Hace 33 minutos

    Un dron iraní impacta contra un rascacielos en Dubai

  • Hace 1 hora

    La Guardia Revolucionaria iraní asume nuevos ataques y afirma que la liberación de Jerusalén se aproxima

  • Hace 1 hora

    Una milicia proiraní de Irak afirma haber abatido el avión cisterna perdido por Estados Unidos

Reproducir directo

Las tensiones geopolíticas han elevado a la categoría de urgente el refuerzo de la ciberseguridad de los países. El riesgo de injerencia extranjera y la amenaza de los conflictos híbridos obligan a los estados a robustecer este flanco, máxime con una guerra abierta en Irán y con Estados Unidos en pleno pulso retórico contra el Gobierno de España por no apoyar su ofensiva. La pregunta es, ¿está España a la vanguardia para defenderse de potenciales ataques informáticos e intromisiones digitales que puedan afectar a servicios esenciales, procesos democráticos o sectores económicos clave?

El presidente del Gobierno, Pedro Sánchez, es perfectamente consciente de esta amenaza, no en vano, en el paquete que anunció hace casi un año (en abril de 2025) para elevar el gasto en Defensa al 2% del PIB, especificó que un 31% de los 10.471 millones de euros invertidos se dedicarían a elaborar, fabricar y adquirir nuevas capacidades de telecomunicaciones y ciberseguridad.

El propósito era crear una suerte de “escudo digital” para garantizar la protección de los derechos en este ámbito frente a hackers, estimulando la nube, el 5G, la Inteligencia Artificial y la computación cuántica.

Es tan vital invertir para robustecer el "escudo digital" como tener la legislación actualizada

Igual de fundamental que es invertir, lo es mantener la legislación actualizada y adaptada a la rápida evolución tecnológica, dotando a las instituciones de herramientas eficaces para prevenir, detectar y responder a estas amenazas; y esta es una asignatura pendiente de España puesto que la guerra en Irán ha pillado con la ley de ciberseguridad obsoleta con respecto al marco europeo.

Pendientes de una transposición que no llega

Ya en enero del año 2024, el entonces ministro de Transformación Digital y de la Función Pública, José Luis Escrivá (actual gobernador del Banco de España), prometió ante la Comisión de su rama en el Congreso de los Diputados una nueva ley de ciberseguridad que hiciera las veces de paraguas normativo y diera institucionalidad a las intervenciones que ya realizan Interior, Defensa y el Centro Criptológico Nacional. Nunca llegó. Y no solo no llegó, sino que además, el Gobierno lleva mucho retraso regulatorio en esta materia.

Hace más de un año que pasó por el Consejo de Ministros el Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad en primera vuelta (en concreto, el 14 de enero de 2025). Esta es la iniciativa a través de la cual el Ejecutivo pretende transponer la Directiva (UE) 2022/2555, comúnmente conocida como Directiva NIS2, que debía haberse integrado ya en el ordenamiento jurídico español antes de octubre de 2024.

El retraso expone a España a una posible sanción por parte del Tribunal de Justicia de la Unión Europea (TJUE), pero lo más sangrante es que pone en riesgo a los sujetos obligados de la norma por no disponer de un marco legislativo específico y definido, generando inseguridad jurídica.

Entidades críticas

La NIS2 sería de aplicación para todas las entidades públicas y privadas, que tengan su domicilio fiscal en España (o en cualquier otro Estado miembro) y desarrolle su actividad en nuestro país. No afecta a todas las empresas, pero sí a una gran mayoría de ellas, en concreto a las encuadradas en sectores considerados de alta criticidad para el normal funcionamiento del país:

  • Energía (electricidad, gas, petróleo, hidrógeno).
  • Transporte (aéreo, ferroviario, marítimo, carreteras).
  • Banca y mercados financieros
  • Sanidad y productos farmacéuticos.
  • Agua potable y aguas residuales.
  • Infraestructuras digitales y servicios tecnológicos (por ejemplo, centros de datos o servicios DNS).
  • Entidades de la administración pública y sector espacial.
  • Industria nuclear.

Asimismo, exigirá su cumplimiento a otros sectores de menos criticidad, como los servicios postales y de mensajería, la gestión de residuos, la producción, transformación y distribución de alimentos; los proveedores de servicios digitales; la investigación científica y la seguridad privada.

En general, la NIS2 se aplica a entidades que son empresas medianas o grandes, es decir:

  • Más de 50 empleados.
  • Más de 10 millones de facturación/anuales (o balance).

No incluye a micro y pequeñas empresas (menos de 50 empleados y menor facturación) salvo excepciones, cuando su actividad es crítica o son proveedores únicos de servicios esenciales.

También puede afectar a entidades no europeas que prestan servicios dentro de la UE; y puede incluir casos particulares sin importar el tamaño (por ejemplo, proveedores de servicios de nombres de dominio de primer nivel, proveedores de DNS públicos o comunicaciones electrónicas).

¿Qué cortafuegos dispone?

La Directiva NIS2, y en consecuencia, el Anteproyecto de Ley de Ciberseguridad, no dicta medidas técnicas precisas a modo de estándar, pero sí esboza obligaciones legales claras para que las entidades afectadas refuercen su ciberseguridad:

  • Medidas de gestión de riesgos: Las organizaciones deben evaluar y mitigar riesgos de seguridad de sus redes y sistemas; implementar políticas y controles organizativos y técnicos para protección continua; y tener procedimientos documentados de gestión de riesgos y seguridad.
  • Notificación de incidentes: Se dispone de entre 24 y 72 horas para notificar incidentes significativos a la autoridad competente.
  • Gobernanza y responsabilidad: Se exige nombrar responsables de seguridad de la información y se plantea que los órganos de dirección asuman responsabilidades por posibles incumplimientos y/o brechas de seguridad (un candente asunto sobre el que profundizaremos más adelante).
  • Supervisión y cooperación: Los Estados miembro deben supervisar a las entidades y establecer autoridades nacionales que controlen el cumplimiento, así como colaborar con otros países de la UE para gestión conjunta de riesgos.

¿Un retraso justificado?

El Gobierno es consciente de la importancia de reforzar la seguridad frente a ciberataques y ataques híbridos contra servicios esenciales e instituciones democráticas, perpetrados por sofisticados grupos criminales o, incluso, por parte de otros Estados. Sin embargo, el Anteproyecto pasó en primera vuelta por el Consejo de Ministros hace más de un año y no se han registrado más avances.

La demora puede deberse a que Europa prepara un nuevo paquete de Ciberseguridad (el desvelado el pasado 20 de enero), y tanto esta iniciativa como el Ómnibus Digital sobre IA (en fase de Consulta Pública hasta el 8 de febrero) anticipan nuevas modificaciones a la NIS2 y España aguarda para transponer todo en el mismo articulado, el de Ciberseguridad.

Ilustración Demócrata

Noticia destacada

Políticas

El laberinto de la Ley de Ciberseguridad en España: retrasos, presión de Europa y nuevas exigencias en camino

6 minutos

En el Consejo de Estado

El calendario legislativo en Europa dependerá del ritmo de las negociaciones interinstitucionales, aunque Bruselas aspira a que el reglamento pueda aprobarse en los próximos meses. ¿Esperará el Gobierno de España para continuar con la tramitación de su ley de Ciberseguridad?

Por lo pronto, según ha podido saber Demócrata, el Anteproyecto de Ley de Ciberseguridad aprobado por el Consejo de Ministros en enero de 2025 está ahora mismo en el Consejo de Estado.