El anteproyecto de ley de ciberseguridad elevará de 200 a más de 10.000 las entidades obligadas a cumplir con medidas de protección digital.
La norma nace para transponer la Directiva europea 2022/2555 y consolidar una arquitectura nacional de ciberseguridad.
Se prevé la creación del Centro Nacional de Ciberseguridad como autoridad coordinadora de crisis digitales.
La norma responde a un contexto crítico: más de 200.000 ciberincidentes en 2024 en España, con ataques críticos cada tres días.
Un marco legal reforzado frente al aumento de los ciberataques
La Fundación Empresa y Seguridad Digital (ESYS) reunió en Madrid a representantes del sector público y privado para debatir el contenido del anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad. Durante las jornadas, el subdirector general de Seguridad Digital, Andrés Ruiz, destacó que la futura norma busca responder a un escenario cada vez más complejo y amenazante en el plano digital.
Según datos del Ministerio para la Transformación Digital y Función Pública, en 2024 se produjeron más de 200.000 ciberincidentes en España, incluidos ataques considerados críticos cada 72 horas. En este contexto, la futura ley busca mejorar la capacidad de protección del país frente a amenazas crecientes y cada vez más sofisticadas.
Objetivos y medidas clave del anteproyecto
El anteproyecto de ley aprobado en enero por el Consejo de Ministros tiene como eje central la transposición de la Directiva (UE) 2022/2555. Esta nueva norma europea refuerza los estándares de ciberseguridad aplicables a redes y sistemas de información que sustentan actividades sociales y económicas esenciales.
Una de las medidas más destacadas del texto es la ampliación del número de entidades sujetas a obligaciones en materia de ciberseguridad: de unas 200 actualmente a más de 10.000, incluyendo sectores críticos como energía, sanidad, transporte o servicios financieros. Estas organizaciones deberán realizar evaluaciones individualizadas de riesgo y desplegar medidas específicas de protección.
Coordinación como piedra angular
Uno de los principales retos identificados durante la tramitación del texto ha sido el de la coordinación entre organismos y agencias nacionales. Para abordarlo, el anteproyecto incluye la creación del Centro Nacional de Ciberseguridad, que será responsable de dirigir la respuesta ante crisis digitales, impulsar políticas en la materia y actuar como nodo de referencia técnica y operativa.
Asimismo, se incorpora la figura del responsable de la seguridad de la información, encargado de coordinar los aspectos técnicos de cumplimiento dentro de cada entidad afectada.
Incorporación de tecnologías emergentes
Además de reforzar la gobernanza, la norma se complementa con medidas tecnológicas recientes, como el desarrollo de capacidades de criptografía postcuántica, soluciones basadas en inteligencia artificial y sistemas de auditoría automatizada. Estas herramientas se alinean con el Plan Nacional de Ciberseguridad y las actuaciones adoptadas por el Gobierno para mejorar las capacidades de defensa digital, tanto en grandes infraestructuras como en pequeños municipios.
Próximos pasos legislativos
El anteproyecto, tramitado con carácter de urgencia, está pendiente de recibir los informes preceptivos de los ministerios de Defensa, Hacienda, Transformación Digital y del Departamento de Seguridad Nacional. Una vez superado este trámite, podrá ser aprobado en segunda vuelta por el Consejo de Ministros y continuar su camino hacia el debate parlamentario.
El subdirector Andrés Ruiz concluyó que “la norma no solo busca proteger nuestro territorio digital, sino consolidar a España como un actor estratégico en el ámbito europeo de la ciberseguridad”, destacando el papel esencial de la colaboración público-privada para alcanzar ese objetivo.
