A partir de ahora habrá otro organismo público para proteger las infraestructuras y el espacio nacional de posibles ciberataques. El Gobierno ha dado luz verde a la creación del Centro Nacional de Ciberseguridad (CNCS), que está siendo impulsado por el Ministerio del Interior y se enmarca dentro del anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad, que se tramitará por el procedimiento de “urgencia”, dada la importancia del tema. Se espera que el CNCS esté plenamente operativo en los próximos meses, una vez se apruebe la ley y se dote de los recursos humanos y técnicos necesarios.
Pero el gran asunto detrás de esta Ley de Coordinación y Gobernanza de la Ciberseguridad es que supondrá por fin la transposición a la legislación española de la directiva europea NIS2, que debía estar concluída antes del pasado 17 de octubre de 2024, pero que se ha ido retrasando. Y que determinará qué industrias y entidades públicas y privadas serán consideradas de “alta criticidad” o de “menor criticidad” a la hora de hacer un análisis pormenorizado de sus riesgos y poner en marcha actuaciones para garantizar buenos niveles de protección de la información y reportes inmediatos a los afectados y las autoridades en caso de incidentes.
Índice de temas
Al fin llega la transposición de NIS2 a la legislación española
La creación del Centro Nacional de Ciberseguridad está contemplada en el anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad. Pero es importante comentar que esta ley tiene como objetivo fundamental trasponer al ordenamiento nacional la directiva europea NIS2 (2022/2555) de medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión. Una medida muy esperada en los últimos meses y que debía haberse hecho realidad antes del 17 de octubre de 2024, que era el plazo dado por la UE a los Estados para tener la versión nacional de NIS2 afinada.
Así, el anteproyecto precisa por fin las entidades públicas o privadas afectadas por las normas de ciberseguridad que establece NIS2. Además, estas entidades deberán estar encuadradas en sectores considerados de alta criticidad para el normal funcionamiento de la vida social y económica del país, como la energía, el transporte, banca y mercados financieros, sector sanitario, agua, infraestructuras digitales y servicios tecnológicos, entidades de la administración pública e industria nuclear.
El anteproyecto asimismo recoge otros sectores de menor criticidad en el anteproyecto tales como los servicios postales y de mensajería; la gestión de residuos; la fabricación, producción y distribución de sustancias y mezclas químicas; la producción, transformación y distribución de alimentos; los proveedores de servicios digitales; la investigación científica, y la seguridad privada.
¿Qué es el Centro Nacional de Ciberseguridad?
Este nuevo organismo se convertirá en el eje central de la estrategia de ciberseguridad de España, actuando como un punto de referencia y coordinación a nivel nacional e internacional. Su principal función será la de coordinar las acciones de los diferentes actores involucrados en la protección de las infraestructuras críticas y la información sensible, tanto del sector público como del privado. Además, se encargará de monitorizar el ciberespacio nacional, detectar amenazas emergentes y desarrollar capacidades de respuesta ante incidentes de gran envergadura. Tendrá la responsabilidad de elaborar y difundir las líneas estratégicas y planes de acción en materia de ciberseguridad, así como de promover la cultura de la ciberseguridad en la sociedad.
¿Cuál es el objetivo del Centro Nacional de Ciberseguridad?
El objetivo principal del Centro Nacional de Ciberseguridad es reducir la vulnerabilidad del país ante los ciberataques, que cada vez son más sofisticados y frecuentes, y que han aumentado un 75% en España en el último año. Se busca garantizar la seguridad de sectores esenciales como la energía, el transporte, la banca y la salud, así como proteger a los ciudadanos de los ciberdelitos, desde el phishing hasta el ransomware. El CNCS trabajará para mejorar la capacidad de prevención, detección, respuesta y recuperación ante incidentes, minimizando su impacto y asegurando la continuidad de los servicios esenciales. Además, fomentará la colaboración público-privada y la cooperación internacional para hacer frente a las amenazas globales.
¿Qué otros organismos estatales velan por la ciberseguridad en España?
Además del nuevo Centro Nacional de Ciberseguridad, existen otros organismos que trabajan en la protección del ciberespacio español:
Centro Criptológico Nacional (CCN):
Adscrito al Centro Nacional de Inteligencia (CNI), se centra en la protección de la información clasificada mediante técnicas de criptografía y tecnologías de seguridad. También desarrolla la normativa de seguridad de las tecnologías de la información y la comunicación para las administraciones públicas (ENS) y gestiona el CCN-CERT, el equipo de respuesta a incidentes de seguridad en el ámbito de la administración pública.
Instituto Nacional de Ciberseguridad (INCIBE)
Dependiente del Ministerio de Asuntos Económicos y Transformación Digital, y con sede en León, está orientado al sector civil, ofrece herramientas, formación y apoyo a empresas y ciudadanos en materia de ciberseguridad. Gestiona el INCIBE-CERT, que da servicio a empresas y ciudadanos en la resolución de incidentes de seguridad.
Mando Conjunto del Ciberespacio (MCCE)
Integrado en el Estado Mayor de la Defensa, es el responsable de planificar y ejecutar las acciones relativas a la ciberdefensa en las redes y sistemas de información y telecomunicaciones de las Fuerzas Armadas.
Oficina de Coordinación de Ciberseguridad (OCC)
Depende de la Secretaría de Estado de Seguridad del Ministerio del Interior y coordina a las unidades de ciberseguridad de la Policía Nacional y de la Guardia Civil.
