La norma recoge la creación del Centro Nacional de Ciberseguridad y establece los órganos de control

El ministro del Interior, Fernando Grande-Marlaska, ha presentado el anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad, a propuesta de su departamento y los ministerios de Defensa y para la Transformación Digital y de la Función Pública. Según ha informado La Moncloa tras el Consejo de Ministros celebrado el 14 de enero, "el objetivo de la norma es reforzar la protección de las redes y sistemas de información, que están sometidas a graves ciberamenazas y riesgos que requieren respuestas adaptadas, coordinadas e innovadoras".

El titular de Interior ha destacado que “los incidentes de naturaleza cibernética pueden llegar a perturbar las actividades económicas, mermar la confianza de los usuarios y ocasionar grandes daños a la economía, la sociedad y a la seguridad nacional, por lo que se requiere de un esfuerzo permanente para hacerles frente”.

Las normas de ciberseguridad que se implantarán afectarán a las entidades públicas y privadas que tengan su residencia fiscal en España y a aquellas que tengan su residencia fiscal en otro Estado de la Unión Europea, pero desarrollen su actividad u ofrezcan sus servicios en nuestro país.

En ambos casos, estas entidades deberán estar encuadradas en sectores considerados de alta criticidad para el normal funcionamiento del país: energía, transporte, banca y mercados financieros, sanitario, agua, infraestructuras digitales y servicios tecnológicos, entidades de la administración pública e industria nuclear. Otros servicios de menos criticidad también recogidos en la futura ley son los servicios postales y de mensajería, la gestión de residuos, la producción, transformación y distribución de alimentos; los proveedores de servicios digitales; la investigación científica y la seguridad privada.

El ministro ha avanzado que las entidades deberán realizar una evaluación individualizada de su riesgo y poner en marcha actuaciones para garantizar y elevar los niveles de seguridad de sus redes y sistemas de información y prevenir el riesgo de incidentes. Además, estarán obligadas a notificar los incidentes significativos que tengan al operar o prestar servicios, tanto si son suyos como si pertenecen a proveedores externos. Asimismo, deberán comunicar a los destinatarios de sus servicios cualquier ciberamenaza que les pueda afectar y las medidas o soluciones que van a aplicar como respuesta.

Respecto al modelo de gobernanza de este esquema, se creará el Centro Nacional de Ciberseguridad, órgano que se encargará de la dirección, impulso y coordinación del mecanismo y será la autoridad de gestión de las crisis producidas por ciberataques.

Además, la norma recoge las autoridades de control encargadas de las funciones de supervisión y ejecución del mecanismo de ciberseguridad: la Oficina de Coordinación de Ciberseguridad de la Secretaría de Estado de Seguridad, el Centro Criptológico Nacional del Centro Nacional de Inteligencia, la Secretaría de Estado de Telecomunicaciones e Infraestructuras Digitales y la Secretaría de Estado de Digitalización e Inteligencia Artificial.

Estos órganos de control velarán por el cumplimiento de los estándares, guías, especificaciones e instrucciones técnicas de ciberseguridad y realizará las comprobaciones, inspecciones, pruebas y revisiones necesarias para comprobar las medidas de seguridad.