S'aprova l'Anteprojecte de Llei de Coordinació i Governança de la Ciberseguretat: NIS2 arriba a Espanya

El passat dimarts, el Consell de Ministres va aprovar l'avantprojecte de Llei de Coordinació i Governança de la Ciberseguretat, una normativa clau que transpone al dret espanyol la Directiva (UE) 2022/2555 del Parlament Europeu i del Consell, coneguda com a NIS-2. Aquesta iniciativa, resultat d'un esforç conjunt entre els ministeris de l'Interior, de Defensa i per a la Transformació Digital i de la Funció Pública, busca enfortir la protecció de les xarxes i sistemes d'informació en sectors crítics per al desenvolupament socioeconòmic del país.

L'aprovació d'aquesta norma suposa un avanç significatiu en l'estratègia nacional de ciberseguretat, responent als reptes que plantegen les creixents ciberamenaces. El text de l'anteprojecte estableix un marc jurídic que reforça la seguretat digital, garanteix la cooperació intersectorial i internacional, i assenta les bases per a la creació del Centre Nacional de Ciberseguretat, que actuarà com a organisme clau en la gestió d'incidents i en la coordinació amb altres països de la Unió Europea.

Entitats Afectades i Sector de Crític Interès

L'anteprojecte especifica que les normes de ciberseguretat s'apliquen a les entitats públiques i privades amb residència fiscal a Espanya, així com a aquelles que, tot i estar localitzades en un altre Estat membre de la Unió Europea, ofereixin serveis o desenvolupin activitats en territori espanyol. Aquesta regulació és particularment rellevant per a sectors considerats essencials, com energia, transport, banca, mercats financers, sector sanitari, infraestructures digitals, indústria nuclear i administracions públiques.

Així mateix, s'inclouen sectors de menor criticitat, entre els quals destaquen els serveis postals i de missatgeria, la gestió de residus, la producció i distribució d'aliments, els proveïdors de serveis digitals i la investigació científica. Aquestes entitats estaran obligades a realitzar avaluacions de risc i a implementar mesures que assegurin la resiliència de les seves xarxes i sistemes d'informació, incloent la notificació d'incidents significatius i la comunicació de ciberamenaces rellevants als seus usuaris.

Figura del Responsable de Seguretat de la Informació

Una de les novetats més destacades de l'anteprojecte és la creació de la figura del responsable de la seguretat de la informació, encarregat de desenvolupar estratègies i polítiques de ciberseguretat, supervisar la seva implementació i garantir el compliment de la normativa vigent. En les entitats essencials, aquest responsable haurà de comptar amb acreditacions específiques, reflectint la rellevància del seu rol en la protecció dels actius digitals.

El responsable també serà el punt de contacte per a la coordinació tècnica i la gestió d'incidents, assegurant respostes ràpides i efectives davant qualsevol amenaça. Això subratlla el compromís del legislador amb la professionalització i especialització en matèria de ciberseguretat.

Creació del Centre Nacional de Ciberseguretat

L'anteprojecte estableix la creació del Centre Nacional de Ciberseguretat, que estarà adscrit a la Secretaria General de Presidència del Govern. Aquest organisme serà responsable de coordinar les accions de ciberseguretat a nivell nacional, garantirà la cooperació amb altres autoritats europees i actuarà com a autoritat de gestió de crisis en cas d'incidents de gran magnitud.

Entre les competències del Centre Nacional de Ciberseguretat destaquen:

• Seguiment i anàlisi de ciberamenaces i vulnerabilitats a escala nacional.
• Prestació d'assistència tècnica a entitats afectades.
• Supervisió en temps real de les xarxes i sistemes d'informació.
• Emissió d'alertes primeres i difusió d'informació sobre amenaces.

Aquestes accions busquen garantir una protecció integral i efectiva, consolidant Espanya com a referent en matèria de ciberseguretat en l'àmbit europeu.

Autoritats de Control i Supervisió

L'anteprojecte també defineix un marc de governança amb autoritats de control encarregades de la supervisió i execució de les mesures establertes. Aquestes inclouen:

• El Ministeri de l'Interior, a través de l'Oficina de Coordinació de Ciberseguretat.
• El Ministeri de Defensa, mitjançant el Centre Criptològic Nacional del Centre Nacional d'Intel·ligència.
• El Ministeri per a la Transformació Digital i de la Funció Pública, a través de les seves Secretaries d'Estat de Telecomunicacions i Digitalització.

Aquestes institucions tindran la responsabilitat de verificar el compliment dels estàndards tècnics, inspeccionar sistemes i xarxes, i garantir que les mesures de ciberseguretat siguin adequades i efectives.

Tramitació Urgent

El Consell de Ministres ha decidit atorgar caràcter d'urgència a la tramitació d'aquest avantprojecte. Aquesta mesura busca accelerar la seva aprovació definitiva, atès que el termini per a la transposició de la Directiva NIS-2 al dret espanyol va expirar el passat 17 d'octubre de 2024.

El Ministeri de l'Interior coordinarà els informes necessaris d'altres departaments ministerials, així com del Consell d'Estat i l'Agència Espanyola de Protecció de Dades, entre altres organismes. A més, es comunicarà a la Comissió Europea l'aprovació d'aquest avantprojecte, reforçant el compromís d'Espanya amb la seguretat digital.

Conclusió

L'aprovació de l'avantprojecte de Llei de Coordinació i Governança de la Ciberseguretat representa un hito en la protecció dels actius digitals a Espanya. La transposició de la Directiva NIS-2 no només enforteix la seguretat nacional, sinó que també posiciona el nostre país com a líder en ciberseguretat a Europa, garantint un entorn digital més segur i resilient davant les creixents amenaces globals.

Nota de premsa oficial: https://www.interior.gob.es/opencms/ca/detalle/articulo/El-Consejo-de-Ministros-aprueba-el-anteproyecto-de-Ley-de-Coordinacion-y-Gobernanza-de-la-Ciberseguridad/