El otro gran 'descuido' en seguridad del Gobierno: Bruselas abrió en noviembre un expediente por no aprobar una nueva ley de ciberseguridad que costará 2.250 millones a las empresas
La posibilidad de un ciberataque que paralice infraestructuras críticas ha vuelto de forma súbita a la mente de los ciudadanos tras el apagón del lunes y el Gobierno lleva tiempo arrastrando los pies para prepararse. En noviembre de 2022, la Comisión Europea aprobó Nis2, una directiva que buscaba aumentar los estándares de ciberseguridad en toda la Unión Europea y en todas las capas de la economía. En abril de 2025, la rebautizada como Ley de Coordinación y Gobernanza de la Ciberseguridad por el Gobierno es aún un anteproyecto que no ha llegado si quiera al Congreso de los Diputados y solo ha pasado una vez por el Consejo de Ministros, el pasado enero, donde se acordó darle un tratamiento urgente.
De hecho, España y otros 22 estados miembros fueron expedientados el pasado noviembre por la Comisión Europea por su tardanza para transponer esta legislación que busca endurecer los requisitos mínimos que las empresas que se consideran relevantes para la sociedad digital tienen que aplicar en ciberseguridad.
El cambio no es pequeño, ni barato. El cálculo del Gobierno español es que en uno u otro grado 5.760 empresas tendrán que invertir para cumplir con el baremo que marca la nueva legislación, lo que arroja una factura conjunta de 2.250 millones de euros. De estas, solo 300 son consideradas esenciales bajo el régimen actual, lo que da a la idea del cambio de paradigma que supone el nuevo reglamento. Sectores como la industria en toda su extensión, el tratamiento de residuos o los servicios de mensajería pasan a estar sujetos a esta regulación siempre que las empresas cuenten con más de 250 empleados o 50 millones de facturación e incluso las que superan diez millones de euros en algunos casos.
El sector público tampoco se queda atrás, ya que todo el sector público institucional a nivel nacional y autonómico entrarán bajo el paraguas de la Ley, así como los municipios de más de 20.000 habitantes.
CENTRO NACIONAL DE CIBERSEGURIDADUna de las medidas que recoge la nueva legislación es la creación de un Centro Nacional de Ciberseguridad que actuará como órgano de gestión de crisis y punto de contacto para las empresas en caso de que haya un ciberataque y que será la entidad que fije los estándares necesarios tanto para el resto del sector público como para el sector privado. Esta entidad tendrá también la potestad de crear la lista de entidades esenciales que tendrán que cumplir con los requerimientos de esta ley.
Con todo, aunque se crea una unidad única esta no tiene por ejemplo potestad sancionadora, que recaerá en los ministerios de Interior y Transformación Digital, lo que ha levantado críticas de algunas entidades al anteproyecto como la Fundación Esys (Empresa Seguridad y Sociedad Digital), que ha reclamado que esta entidad concentre de forma efectiva todas las funciones como una única autoridad centralizada. La creación de esta entidad se demorará hasta 12 meses desde que se apruebe el texto, lo que retrasará aún más la puesta en marcha de la nueva estructura para detectar ciberataques.
Entre otras cuestiones, la legislación obligará a las empresas a notificar los incidentes y establecerá fuertes sanciones de hasta el 2% de la facturación global a quienes no hayan sido diligentes a la hora de gestionar estas políticas de ciberseguridad con unas obligaciones que incluyen también a los proveedores externos, la fuente de algunas de las brechas de datos que más eco han tenido en los últimos meses en España.
Asimismo, uno de los elementos que ha generado más agitación a las empresas es que los miembros de los órganos de dirección responderán de forma solidaria a cualquier infracción que cometa la empresa, una medida que probablemente reforzará la implicación de la cúpula de las grandes compañías.
La normativa también crea la figura del responsable de seguridad de la información que tendrá que ejercer como punto de contacto y coordinación técnica y tendrá entre sus responsabilidades elaborar las estrategias y políticas de ciberseguridad, así como supervisar que cumplen la normativa.
elmundo
