• Blog
• Noticias

Aprobado el nuevo anteproyecto de ley de ciberseguridad

El Consejo de Ministros aprobó el 14 de enero de 2025 el anteproyecto de ley con el que se transpone al ordenamiento jurídico nacional la Directiva (UE) 2022/2555, conocida como NIS-2 (el “Anteproyecto”).

El Anteproyecto tiene como finalidad reforzar la protección de las redes y sistemas de información de entidades pertenecientes a sectores críticos, que están sometidas a graves riesgos y desafíos en el área de la ciberseguridad.

1. Ámbito de aplicación. La norma se aplicará a entidades públicas y privadas con residencia fiscal en España o que operen en el país, medianas o grandes y pertenezcan a sectores críticos como energía, transporte, sanidad, banca, mercados financieros, y agua, así como sectores de menor criticidad, como servicios postales y de mensajería, gestión de residuos, y servicios digitales, entre otros. También afecta a empresas estratégicas pequeñas.
2. Responsable de seguridad de la información. Se introduce un puesto clave en cada entidad: el responsable de la seguridad de la información, que será el encargado de diseñar la estrategia de protección, supervisar la implantación de medidas y garantizar el cumplimiento normativo, fomentando una actuación unificada y evitando la dispersión de funciones.
3. Centro Nacional de Ciberseguridad. Se creará el Centro Nacional de Ciberseguridad, adscrito a la Secretaría General de la Presidencia del Gobierno, con la misión de coordinar, impulsar y gestionar las políticas de ciberseguridad a nivel nacional. Además, promoverá la cooperación intersectorial y transfronteriza con las autoridades competentes de otros países y se encargará de gestionar las crisis de ciberseguridad derivadas de incidentes significativos.
4. Supervisión. Se asignarán funciones de supervisión a varias autoridades competentes, como el Ministerio del Interior (a través de la Oficina de Coordinación de Ciberseguridad), el Ministerio de Defensa (Centro Criptológico Nacional) y el Ministerio para la Transformación Digital y de la Función Pública (Secretaría de Estado de Telecomunicaciones e Infraestructuras Digitales).
5. Régimen sancionador. El Anteproyecto incluye un régimen sancionador para garantizar el cumplimiento de las obligaciones de ciberseguridad. Incorpora sanciones que pueden llegar a 10 millones de euros, o el 2% de la cifra anual de facturación.

Acciones y Medidas Específicas

1. Evaluación de Riesgos: Las empresas deben realizar una evaluación exhaustiva de los riesgos cibernéticos a los que están expuestas, identificando las áreas vulnerables y tomando medidas para mitigarlas.
2. Implementación de Protocolos de Seguridad: Es fundamental establecer protocolos de seguridad robustos, que incluyan la encriptación de datos, el uso de firewalls avanzados, y sistemas de detección y prevención de intrusiones.
3. Capacitación Continua: Las empresas deben invertir en la formación continua de su personal en temas de ciberseguridad. Esto incluye desde la concienciación sobre phishing hasta la capacitación en la gestión de incidentes.
4. Auditorías Regulares: La realización de auditorías periódicas es esencial para asegurar que las medidas de ciberseguridad implementadas sean efectivas y cumplan con los requisitos legales.
5. Gestión de Incidentes: Las empresas deben establecer un plan de gestión de incidentes que les permita responder de manera rápida y eficaz ante cualquier brecha de seguridad.

Recomendaciones de Prácticas de Ciberseguridad

• Utilización de Software de Seguridad Actualizado: Mantener todo el software de seguridad actualizado es crucial para proteger los sistemas contra nuevas amenazas.
• Políticas de Acceso Restringido: Implementar políticas que limiten el acceso a información sensible solo al personal autorizado.
• Backup Regular de Datos: Realizar copias de seguridad regulares para garantizar que la información crítica pueda ser recuperada en caso de un ciberataque.
• Monitorización Continua: Establecer sistemas de monitorización continua para detectar cualquier actividad sospechosa en tiempo real.