Coordinación Ciberseguridad

Gobernanza de Ciberseguridad – Anteproyecto de Ley
Transposición Directiva NIS 2

Anteproyecto de Ley de Coordinación y Gobernanza en Ciberseguridad

Hacia un marco institucional unificado para fortalecer la resiliencia digital de España frente a las amenazas modernas.

Explorar Puntos Clave Ver PDF Oficial

Objetivos Fundamentales

Unificación

Superar la dispersión competencial actual mediante un marco normativo y operativo único para todo el territorio nacional.

Integración Europea

Transponer la Directiva (UE) 2022/2555 (NIS 2) para alinear a España con los estándares de ciberseguridad europeos.

Protección Crítica

Elevar el nivel de protección de las entidades esenciales e importantes frente a ataques de alta sofisticación.

El Centro Nacional de Ciberseguridad (CNCS)

Se configura como la piedra angular del nuevo sistema. Adscrito al Gabinete de la Presidencia, este órgano centralizará la gestión de la ciberseguridad en el país.

  • Autoridad Nacional Única: Dirección e impulso de actividades de ciberseguridad.
  • Punto de Contacto Único: Interlocutor principal con la UE y otros Estados.
  • Gestión de Crisis: Coordinación central ante incidentes a gran escala.

Nueva Estructura Institucional

Consejo Nacional de Ciberseguridad

Órgano colegiado de apoyo al Consejo de Seguridad Nacional.

CSIRT Nacionales

Equipos de respuesta a incidentes coordinados centralmente.

Entidades y Obligaciones

La ley diferencia entre dos tipos principales de entidades según su criticidad.

ALTA CRITICIDAD

Entidades Esenciales

  • Energía, Agua y Transporte.
  • Sector Sanitario y Salud.
  • Banca e Infraestructura de Mercado.
  • Espacio y Servicios Digitales Críticos.
CRITICIDAD MEDIA

Entidades Importantes

  • Servicios postales y de mensajería.
  • Gestión de residuos.
  • Fabricación de productos químicos.
  • Producción y distribución de alimentos.

Medidas de Gestión de Riesgos

01.

Gobernanza

Responsabilidad directa de los órganos de dirección en la aplicación de la estrategia.

02.

Cadena de Suministro

Seguridad en las relaciones con proveedores y proveedores de servicios externos.

03.

Notificación de Incidentes

Obligación de informar a través de la Plataforma Nacional de Notificación.

04.

Formación Continua

Programas obligatorios de concienciación para empleados y directivos.

Supervisión y Régimen Sancionador

Leves

Graves

Muy Graves

«Las infracciones muy graves tienen un periodo de prescripción de tres años y pueden conllevar multas coercitivas de cuantías significativas basadas en el volumen de facturación de la entidad.»

Proporcionalidad Prescripción 3 años
Resumen del Anteproyecto de Ley

Basado en el documento de audiencia pública (Enero 2025).

© 2025 Infografía Legislativa de Ciberseguridad. Documento Informativo no vinculante.