El pasado 14 de enero, el Consejo de Ministros aprobó el anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad. Su objetivo primordial es dar «respuestas adaptadas, coordinadas e innovadoras» ante las ciberamenazas, que «requieren de un esfuerzo permanente» para combatirlas. Unido a las sanciones económicas, que son muy elevadas en casos graves y muy graves, otro de los aspectos más destacados del texto legal es que establece que los CEO que incumplan sus obligaciones respecto a la gestión del riesgo cibernético serán, solidariamente, responsables de los riesgos y/o daños causados.
El anteproyecto aprobado el 14 de enero de 2025 hace hincapié en que esta clase de riesgos e incidentes pueden ocasionar grandes daños a la economía y a la sociedad, al mermar la confianza de los usuarios. «El número, la magnitud, la sofisticación, la frecuencia y los efectos de los incidentes de naturaleza cibernética representan una grave amenaza para el funcionamiento de las redes y sistemas de información», se señala en su exposición de motivos. En esa línea, la iniciativa se basa en la imposición de medidas para alcanzar un elevado nivel común de ciberseguridad en España, contribuyendo a la ciberseguridad en Europa.
Lo estipulado inicialmente en el Real Decreto-ley 12/2018, que transpuso a nuestro ordenamiento la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, a posteriori se ha mostrado insuficiente para resolver, de forma eficaz, los retos que se están presentando actualmente en lo que se refiere a ciberseguridad. Ese es el motivo de que fuera derogado a través de la Directiva (UE) 2022/2555, de 14 de diciembre de 2022. Esta última, conocida como NIS-2,es la que se incorporará a nuestro ordenamiento jurídico cuando el anteproyecto sobre Coordinación y Gobernanza de la Ciberseguridad sea ya una ley.
Según Damián Tuset Varela, letrado consistorial, abogado experto en Derecho Tecnológico y especialista en Ciberseguridad y Seguridad, «esta regulación era absolutamente necesaria. Los profesionales llevamos tiempo demandándola. Como es sabido, es algo alarmante que está a la orden del día. Pensemos, simplemente, que si una persona comprueba los intentos de acceso a su correo electrónico, probablemente verá que cada día, o incluso cada hora, se han producido varios».
En total, la norma, pendiente ahora de aprobación definitiva, comprende 50 artículos estructurados en siete capítulos, así como diversas disposiciones. En ella, además, se contempla la creación de la Estrategia Nacional de Ciberseguridad y del Centro Nacional de Ciberseguridad, órgano cuyas competencias serán la dirección, impulso y coordinación de las diferentes medidas diseñadas.
La ley se aplicará a entidades tanto públicas como privadas.
Se prevé que la Ley de Coordinación y Gobernanza de la Ciberseguridad se aplique a entidades públicas o privadas con residencia fiscal en nuestro país que pertenezcan a los sectores de alta criticidad y otros sectores críticos, pero solo cuando su balance anual sea superior 10 millones de euros y tengan 50 o más trabajadores.
Entre los sectores más críticos se incluyen los suministros básicos, el transporte, la banca, los mercados financieros, los tecnológicos y la Administración pública. Como explica Damián Tuset, «la UE considera que estos sectores tienen alta criticidad no solo por la afectación económica que pueda provocar una brecha de seguridad en ellos, sino por lo que podría llegar ocurrir si caen en manos de ciberdelincuentes. Imaginemos, por ejemplo, que los semáforos dejaran de funcionar…».
No obstante, la aplicación será efectiva en otros casos independientemente del tamaño de la organización, como sucede con las universidades y centros de investigación, por ejemplo. O con los proveedores de redes públicas de comunicaciones electrónicas —o de servicios e infraestructura tecnológica— con domicilio en otro Estado de la UE pero que ofrezcan sus servicios o desarrollen su actividad en un establecimiento permanente situado en España.
Asimismo, se elaborará una lista específica (nominativa) de entidades «importantes» y «esenciales», que tendrán que designar un responsable de la seguridad de la información. «Pero tengamos presente que se excluyen del ámbito de aplicación las administraciones públicas de defensa y seguridad nacional, así como el Instituto de Crédito Oficial, porque todos ellos tienen su propia norma sectorial», aclara el abogado Tuset.
La responsabilidad de los CEO: novedad del anteproyecto.
Es fundamental resaltar que el anteproyecto dicta que la responsabilidad ante las infracciones recaerá en las entidades autoras del hecho. Pero los miembros de sus órganos de dirección responderán solidariamente. «Esta novedad tiene todo el sentido, ya que suele ser muy difícil determinar quien tiene la responsabilidad. Es una manera de controlar que no se diluya; que alguien responda por la falta de seguridad», manifiesta el letrado.
En contraposición, las infracciones cometidas por organismos públicos no serán sancionadas económicamente, «ya que, naturalmente, la Administración no se puede multar a sí misma», comenta Tuset. Aunque en esos casos sí se acordarán las medidas que se estimen oportunas para que cese la práctica detectada y se corrijan sus efectos, cabiendo la posibilidad de que se inicien actuaciones disciplinarias.
Multas de 2.000.000 de euros en infracciones muy graves.
Las entidades afectadas, en definitiva, deberán realizar una evaluación individualizada de su riesgo y poner en marcha una serie de acciones para la seguridad de sus redes y sistemas de información, priorizando la prevención del riesgo de incidentes. Además, estarán obligadas a notificar los incidentes de importancia a la Plataforma Nacional de Notificación y Seguimiento de Ciberincidentes. Por su parte, las autoridades de control podrán llevar a cabo inspecciones, auditorías, análisis de seguridad, solicitudes de información y acceso, etc. Todo ello con sus correspondientes advertencias y órdenes según los datos recabados.
Exclusivamente para las organizaciones privadas, las infracciones muy graves a las medidas concretas que se determinen se sancionarán con una multa de entre 500.001 y 2.000.000 de euros, mientras que en las consideradas graves los importes descienden, estableciéndose en un rango de 100.001 hasta 500.000 euros. Las leves, por su parte, llevan aparejada una sanción de entre 10.000 y 100.000 euros. Pero todas ellas tienen plazo de prescripción —tres, dos y un año, respectivamente—. «Estas sanciones son acordes a la relevancia, a la normativa europea y a otras relacionadas con el ciberespacio. Y son proporcionales al potencial daño», subraya el experto en Derecho Tecnológico Damián Tuset.
El Centro Nacional de Ciberseguridad, autoridad única.
Este centro ejercerá como autoridad nacional competente, y será la única, en la gobernanza de la ciberseguridad. Se erige, por tanto, como responsable de la dirección, impulso y la coordinación de todas las actividades que sea necesario realizar. En esta línea, podrá promover y aprobar cualquier disposición que redunde en la seguridad de las redes y de los sistemas de información.
Al Centro Nacional de Ciberseguridad, en paralelo, se suman las denominadas autoridades de control: el Ministerio para la Transformación Digital y de la Función Pública, el de Defensa y el del Interior. No obstante, en el anteproyecto se indica que las comunidades autónomas colaborarán tanto con el Centro como con las autoridades de control, con el fin de fomentar y velar por el cumplimiento de las políticas de ciberseguridad.
Junto al Centro Nacional de Ciberseguridad, el texto legal desarrolla la Estrategia Nacional de Ciberseguridad, para fijar los objetivos, los recursos y todas las medidas adecuadas en pos de alcanzar y mantener la ciberseguridad.
Fuente: IIILA LEY. Consejo General de Economistas. (Patricia Giménez)