Políticas

El laberinto de la Ley de Ciberseguridad en España: retrasos, presión de Europa y nuevas exigencias en camino

El Gobierno mantiene en suspenso la transposición mientras Bruselas prepara cambios que pueden alterar el marco de la NIS2. ¿En qué punto está España y qué llega y cuándo desde Europa?

6 minutos

Ilustración Demócrata

AmpArticleViewer.default.firstRelateds

Publicado

6 minutos

El Gobierno de España lleva mucho retraso regulatorio en materia de ciberseguridad. Hace más de un año que pasó por el Consejo de Ministros el Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad en primera vuelta (en concreto, el 14 de enero de 2025). Para más inri, Europa presiona. El pasado 20 de enero la Comisión Europea presentó una propuesta de nuevo reglamento para una nueva Ley de Ciberseguridad de la UE. Con este escenario como telón de fondo, en Demócrata analizamos cuál es la situación, qué ha provocado el retraso, futuras modificaciones y qué normativas y exigencias están por llegar.

Ley de Ciberseguridad, una transposición pendiente

El Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad es la iniciativa mediante la que el Gobierno pretende transponer la Directiva (UE) 2022/2555, comúnmente conocida como Directiva NIS2, que debía haberse integrado ya en el ordenamiento jurídico español antes de octubre de 2024.

El retraso expone a España a una posible sanción por parte del Tribunal de Justicia de la Unión Europea (TJUE), además de que pone en riesgo a los sujetos obligados de la norma por no disponer de un marco legislativo específico y definido, generando inseguridad jurídica.

¿A quién afecta?

La NIS2 sería de aplicación para todas las entidades públicas y privadas, que tengan su domicilio fiscal en España (o en cualquier otro Estado miembro) y desarrolle su actividad en nuestro país. No afecta a todas las empresas, pero sí a una gran mayoría de ellas, en concreto a las encuadradas en sectores considerados de alta criticidad para el normal funcionamiento del país:

  • Energía (electricidad, gas, petróleo, hidrógeno).
  • Transporte (aéreo, ferroviario, marítimo, carreteras).
  • Banca y mercados financieros
  • Sanidad y productos farmacéuticos.
  • Agua potable y aguas residuales.
  • Infraestructuras digitales y servicios tecnológicos (por ejemplo, centros de datos o servicios DNS).
  • Entidades de la administración pública y sector espacial.
  • Industria nuclear.

Asimismo, exigirá su cumplimiento a otros sectores de menos criticidad, como los servicios postales y de mensajería, la gestión de residuos, la producción, transformación y distribución de alimentos; los proveedores de servicios digitales; la investigación científica y la seguridad privada.

En general, la NIS2 se aplica a entidades que son empresas medianas o grandes, es decir:

  • Más de 50 empleados.
  • Más de 10 millones de facturación/anuales (o balance).

No incluye a micro y pequeñas empresas (menos de 50 empleados y menor facturación) salvo excepciones, cuando su actividad es crítica o son proveedores únicos de servicios esenciales.

También puede afectar a entidades no europeas que prestan servicios dentro de la UE; y puede incluir casos particulares sin importar el tamaño (por ejemplo, proveedores de servicios de nombres de dominio de primer nivel, proveedores de DNS públicos o comunicaciones electrónicas).

¿Qué exige?

La Directiva NIS2, y en consecuencia, el Anteproyecto de Ley de Ciberseguridad, no dicta medidas técnicas precisas a modo de estándar, pero sí esboza obligaciones legales claras para que las entidades afectadas refuercen su ciberseguridad:

  • Medidas de gestión de riesgos: Las organizaciones deben evaluar y mitigar riesgos de seguridad de sus redes y sistemas; implementar políticas y controles organizativos y técnicos para protección continua; y tener procedimientos documentados de gestión de riesgos y seguridad.
  • Notificación de incidentes: Se dispone de entre 24 y 72 horas para notificar incidentes significativos a la autoridad competente.
  • Gobernanza y responsabilidad: Se exige nombrar responsables de seguridad de la información y se plantea que los órganos de dirección asuman responsabilidades por posibles incumplimientos y/o brechas de seguridad (un candente asunto sobre el que profundizaremos más adelante).
  • Supervisión y cooperación: Los Estados miembro deben supervisar a las entidades y establecer autoridades nacionales que controlen el cumplimiento, así como colaborar con otros países de la UE para gestión conjunta de riesgos.

SANCIONES

El incumplimiento puede llevar a multas elevadas, hasta 10 millones de euros o un porcentaje del volumen de negocio global, según la legislación nacional derivada de la Directiva.

 

¿Por qué no se ha transpuesto?

El Gobierno es consciente de la importancia de reforzar la seguridad frente a ciberataques y ataques híbridos contra servicios esenciales e instituciones democráticas, perpetrados por sofisticados grupos criminales o, incluso, por parte de otros Estados. Sin embargo, el Anteproyecto pasó en primera vuelta por el Consejo de Ministros hace más de un año y no se han registrado más avances.

La demora puede deberse a que Europa prepara un nuevo paquete de Ciberseguridad (el desvelado el pasado 20 de enero), y tanto esta iniciativa como el Ómnibus Digital sobre IA (en fase de Consulta Pública hasta el 8 de febrero) anticipan nuevas modificaciones a la NIS2 y España aguarda para transponer todo en el mismo articulado, el de Ciberseguridad.

Los altos cargos, preocupados por el Art. 35.

El Artículo 14 del Anteproyecto de Ley de Ciberseguridad, relativo a la Gobernanza, recoge que “los órganos de dirección de las entidades esenciales e importantes serán responsables de aplicar las medidas para la gestión de riesgos de ciberseguridad incluidas en esta ley, de supervisar su implantación efectiva y, en su caso, asumirán la responsabilidad por su incumplimiento”.

Pero el punto que realmente genera inquietud es el Artículo 35, que establece los sujetos responsables. Se cita que “los miembros de los órganos de dirección de las entidades responderán solidariamente de las infracciones que éstas cometa”.

Así las cosas, preocupa que el anteproyecto va más allá que la propia Directiva NIS2 (gold plating) incluyendo la responsabilidad solidaria a los consejos de administración de las empresas por brechas de seguridad.

Relacionat
La responsabilidad solidaria por brechas de ciberseguridad inquieta a los consejos de administración

¿Qué esperar de Europa y cuándo?

La propuesta de nuevo Reglamento de Ciberseguridad impulsado por la Comisión Europea pretende reforzar la capacidad comunitaria para prevenir, detectar y responder de forma coordinada a incidentes cibernéticos de gran escala.

El texto plantea un marco más integrado a nivel europeo, con especial énfasis en la cooperación entre Estados miembros, el intercambio de información operativa y la mejora de los mecanismos de respuesta ante crisis que puedan afectar a infraestructuras críticas, servicios esenciales o cadenas de suministro estratégicas.

Uno de sus propósitos es reforzar la seguridad de las cadenas de suministro de Tecnologías de la Información y la Comunicación (TIC) de la UE; de modo que se garantice que los productos que llegan a los ciudadanos europeos sean seguros. Para ello, se implementaría un proceso de certificación más sencillo.

La CE considera que la coyuntura geopolítica actual evidencia que la seguridad de la cadena de suministro no se limita a la seguridad técnica del producto o servicio, sino que también incluye riesgos relacionados con el proveedor, ante el riesgo de posibles injerencias extranjeras.

El reglamento busca, además, reducir la fragmentación normativa y avanzar hacia un enfoque más homogéneo en la gestión de riesgos cibernéticos, complementando el marco ya existente de la Directiva NIS2 y la legislación sectorial en vigor.

Tras su presentación por parte de la Comisión, la propuesta inicia ahora su tramitación legislativa ordinaria, que implica el análisis y negociación tanto en el Parlamento Europeo como en el Consejo. En la Eurocámara, el texto será examinado previsiblemente por las comisiones competentes en materia de mercado interior, libertades civiles y seguridad, mientras que en el Consejo los Estados miembros deberán fijar posición sobre el alcance del nuevo marco y su encaje con las normativas nacionales ya en proceso de transposición.

En el Consejo de Estado

El calendario legislativo en Europa dependerá del ritmo de las negociaciones interinstitucionales, aunque Bruselas aspira a que el reglamento pueda aprobarse en los próximos meses. ¿Esperará el Gobierno de España para continuar con la tramitación de su ley de Ciberseguridad?

Por lo pronto, según ha podido saber Demócrata, el Anteproyecto de Ley de Ciberseguridad aprobado por el Consejo de Ministros en enero de 2025 está ahora mismo en el Consejo de Estado y, quizá, se aborde en la siguiente Comisión Permanente, agendada para la próxima semana.