Factum

¿Qué implica la aprobación del Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad?

Rafael Ortega

Rafael Ortega - Director de Desarrollo de Negocio y Consultoría

El 14 de enero quedaba aprobado en el Consejo de Ministros el anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad. La norma, propuesta de manera conjunta de los ministerios del Interior, de Defensa y para la Transformación Digital y de la Función Pública, transpone al ordenamiento nacional la Directiva 2022/2555 del Parlamento Europeo y del Consejo (NIS-2).

El anteproyecto precisa las entidades públicas o privadas afectadas por las normas de ciberseguridad que establece, y crea el Centro Nacional de Ciberseguridad, que se encargará de la dirección, impulso y coordinación en la materia, garantizará la cooperación intersectorial y transfronteriza con otras autoridades competentes y será autoridad de gestión de crisis en caso de incidentes de entidad.

Actualmente, está pendiente de tramitación con urgencia, y dar de inmediato paso a su debate parlamentario.  Aunque aún quedan algunos pasos para su aprobación definitiva en el Parlamento y su publicación en el BOE, es fundamental que las organizaciones empiecen a prepararse.

¿Cuáles son los puntos significativos del ante proyecto?

Los puntos significativos del Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad incluyen:

Objeto y ámbito de aplicación:

  1. Define obligaciones, medidas de gestión de riesgos, intercambio de información, supervisión y ejecución.
  1. Creación del Centro Nacional de Ciberseguridad (CNC):
    1. Actuará como autoridad nacional única para la dirección, impulso y coordinación en materia de ciberseguridad.
    1. Será el punto de contacto único para cooperación nacional e internacional y la gestión de crisis de ciberseguridad.
  2. Gestión de riesgos y notificaciones:
    1. Introduce la Plataforma Nacional de Notificación y Seguimiento de Ciber incidentes.
    1. Obliga a las entidades esenciales e importantes a realizar evaluaciones de riesgos y notificar incidentes significativos.
  3. Clasificación de entidades esenciales e importantes:
    1. Basada en criterios como tamaño, sector crítico y relevancia para la seguridad nacional.
    1. Se incluye a las entidades de alta criticidad, como las que prestan servicios esenciales o tienen repercusiones transfronterizas.
  4. Marco estratégico e institucional:
    1. Se desarrolla una Estrategia Nacional de Ciberseguridad alineada con la Estrategia de Seguridad Nacional.
    1. Promueve la cooperación público-privada y fomenta la educación y concienciación en ciberseguridad.
  5. Régimen sancionador:
    1. Establece infracciones (muy graves, graves y leves) y sanciones aplicables a entidades que incumplan sus obligaciones.
  6. Supervisión y ejecución:
    1. Define autoridades de control sectoriales y mecanismos de supervisión y cooperación transfronteriza.
Quiero hablar con un experto en NIS2 y otras normativas

¿Qué aspectos del anteproyecto de ley expresan que están pendientes de reglamentar?

El Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad menciona varios aspectos que están pendientes de desarrollo reglamentario, entre ellos:

  1. Capacidades y procedimientos en caso de crisis de ciberseguridad:
    1. El artículo 8.2 señala que se establecerán reglamentariamente las capacidades, activos y procedimientos que se desplegarán durante una crisis de ciberseguridad​.
  2. Regulación del registro de entidades:
    1. La disposición transitoria segunda establece que se elaborará la lista de entidades esenciales e importantes antes de abril de 2025, y se reglamentará la notificación de datos por parte de los proveedores de servicios​.
  3. Definición de medidas técnicas y operativas:
    1. El artículo 15 indica que el Centro Nacional de Ciberseguridad definirá las medidas técnicas, operativas y organizativas que las entidades deben implementar, basándose en el Esquema Nacional de Seguridad y normas técnicas europeas e internacionales​.
  4. Canales de comunicación con entidades esenciales:
    1. El artículo 7.3 menciona que los canales de comunicación para entidades esenciales serán desarrollados reglamentariamente​.
  5. Plan de respuesta a incidentes:
    1. El Centro Nacional de Ciberseguridad debe adoptar un plan que incluya objetivos, medidas de gestión y procedimientos para incidentes de ciberseguridad. Este plan también estará sujeto a desarrollo reglamentario​.

Estos puntos reflejan que la ley está diseñada para ser implementada progresivamente, complementándose con desarrollos normativos específicos que detallen su ejecución. Si necesitas ampliar información sobre alguno de ellos, contacta con nosotros.

Quiero hablar con un experto en NIS2 y otras normativas

Preguntas frecuentes

¿En una entidad importante no existe sanción de inhabilitación para la dirección y de suspensión para la dirección en caso de falta muy grave?

No, en el Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad no se prevé la inhabilitación ni la suspensión para la dirección de las entidades importantes en caso de falta muy grave. Sin embargo, para las entidades esenciales, sí se incluyen sanciones relacionadas con la dirección en caso de incumplimientos graves. Específicamente, la autoridad de control puede:

  • Prohibir temporalmente que una persona con responsabilidades de dirección ejerza sus funciones hasta que la entidad subsane las deficiencias​​.

Diferencias entre una entidad esencial y una entidad importante

Las diferencias entre una entidad esencial y una entidad importante en el Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad se centran en su nivel de criticidad, los sectores en los que operan y las obligaciones específicas que deben cumplir. Aquí están las principales diferencias:

1. Criterios de clasificación:

  • Entidades esenciales:
    • Son aquellas que pertenecen a sectores de alta criticidad (detallados en el Anexo I) y cumplen criterios como:
      • Tener 250 o más empleados.
      • Tener un volumen de negocios superior a 50 millones de euros o un balance general superior a 43 millones de euros.
    • Incluyen también a entidades críticas según la normativa de infraestructuras críticas y las designadas como operadores de servicios esenciales​​.
  • Entidades importantes:
    • Son aquellas que, aunque pertenecen a sectores relevantes (detallados en el Anexo II), no cumplen los criterios para ser clasificadas como esenciales.
    • Incluyen entidades más pequeñas o menos críticas dentro de los mismos sectores​.

2. Obligaciones de gestión y notificación de ciberseguridad:

  • Entidades esenciales:
    • Deben implementar medidas más estrictas de gestión de riesgos y cumplir con requisitos más rigurosos.
    • La supervisión de estas entidades es más exhaustiva, con inspecciones periódicas y mayor escrutinio sobre sus sistemas de seguridad​.
  • Entidades importantes:
    • Aunque también tienen obligaciones de gestión de riesgos y notificación de incidentes, estas son menos exigentes que las aplicables a las entidades esenciales​.

3. Sanciones y medidas disciplinarias:

  • Entidades esenciales:
    • Están sujetas a sanciones más severas en caso de incumplimientos graves o muy graves, incluyendo la posibilidad de inhabilitación de sus responsables o prohibición de realizar ciertas actividades​​.
  • Entidades importantes:
    • Las sanciones son menos severas y no contemplan medidas como la inhabilitación de los responsables​​.

4. Supervisión y control:

  • Entidades esenciales:
    • Su supervisión se realiza de manera más centralizada por las autoridades de control, con revisiones regulares de su cumplimiento normativo.
    • Pueden ser objeto de mayores exigencias en casos de incidentes que afecten la seguridad nacional​​.
  • Entidades importantes:
    • La supervisión puede ser menos frecuente y más orientada a garantizar el cumplimiento básico de sus obligaciones​​.

¿En entidades importantes, qué quiere decir entidades más pequeñas o menos críticas dentro de los mismos sectores?

Con «entidades más pequeñas o menos críticas dentro de los mismos sectores», en el contexto de las entidades importantes, significa:

Menor tamaño:

  • Entidades importantes incluyen aquellas que no alcanzan los umbrales de tamaño económico o de empleados para ser consideradas esenciales. Por ejemplo:
    • Entidades esenciales: Grandes empresas con más de 250 empleados y un volumen de negocio anual superior a 50 millones de euros.
    • Entidades importantes: Empresas medianas con entre 50 y 250 empleados y un volumen de negocio menor a 50 millones de euros​​.

Menor criticidad:

  • Estas entidades operan en sectores relevantes definidos en los anexos de la ley (Anexos I y II), pero sus servicios o infraestructuras tienen menor impacto potencial en la seguridad nacional, la economía o la sociedad en caso de sufrir un incidente. Por ejemplo:
    • Una entidad esencial puede ser el único proveedor de un servicio crítico en todo el país.
    • Una entidad importante podría operar a nivel regional o en sectores con un impacto más limitado si su actividad se ve interrumpida​.

Relevancia en el contexto de riesgos de ciberseguridad:

  • Entidades esenciales: Son claves para mantener la seguridad, economía y sociedad del país; su interrupción puede causar grandes daños nacionales o transfronterizos.
  • Entidades importantes: Aunque relevantes, su impacto potencial en caso de un incidente es más reducido, por lo que tienen obligaciones adaptadas a su menor nivel de criticidad.

También te puede interesar

¿Quieres estar al día de las últimas novedades?

Inscríbete

Resumen de privacidad
Factum: especialistas en ciberseguridad

Esta web utiliza cookies para que podamos ofrecerte la mejor experiencia de usuario posible. La información de las cookies se almacena en tu navegador y realiza funciones tales como reconocerte cuando vuelves a nuestra web o ayudar a nuestro equipo a comprender qué secciones de la web encuentras más interesantes y útiles.

Cookies estrictamente necesarias

Las cookies estrictamente necesarias tiene que activarse siempre para que podamos guardar tus preferencias de ajustes de cookies.

Cookies de terceros

Esta web utiliza Google Analytics para recopilar información anónima tal como el número de visitantes del sitio, o las páginas más populares.

Dejar esta cookie activa nos permite mejorar nuestra web.

Powered by  GDPR Cookie Compliance