España se enfrenta a sanciones por no tener lista la nueva ley de ciberseguridad

Hoy debería estar adaptada a la regulación española la directiva europea de ciberseguridad conocida como NIS, pero el Ministerio de Turismo, Energía y Agenda Digital dirigido por Álvaro Nadal no ha cumplido con el plazo establecido.

Fuentes del Ministerio aseguran que la complejidad del nuevo reglamento está detrás de las complicaciones encontradas para trasponer la norma al marco regulatorio español, y que al final han provocado que no se llegue en tiempo y forma al 9 de mayo. Además, desde el Ministerio también explican que es una regulación de la que dependen otros Ministerios como Defensa o Interior, y la coordinación de varias carteras siempre es un asunto complejo, aunque las mismas fuentes señalan que se está trabajando para transponer la ley cuanto antes.

"La UE exige que las Directivas europeas se conviertan en leyes nacionales para asegurarse de que la regulación está armonizada en los 28 Estados miembros. Es frecuente que una Directiva no se transponga a tiempo. Puede ocurrir, en puridad, que la UE mande en este caso un requerimiento por el retraso. Según la respuesta, puede iniciar un proceso de sanción, pero es algo que no suele pasar, más en este caso, en el que el Gobierno ya ha aprobado un Anteproyecto de Ley a este respecto", explica Albert Agustinoy, socio director del área de Propiedad Intelectual y Nuevas tecnologías del despacho Cuatrecasas.

La Directiva europea se aprobó el 6 de julio de 2016 y entró en vigor un mes después. A partir de entonces se otorgó una moratoria de 21 meses para que los estados miembros adaptasen su normativa nacional. El plazo finaliza hoy

En cuanto a las cuantías de las posibles multas, Albert matiza que "es algo complicado de establecer, porque se tienen en cuenta muchos factores, como la horquilla temporal, disposición de los países o complicación en la transposición".

No obstante, esta transposición no se producirá hasta pasados unos meses, debido precisamente a los trámites burocráticos que ha de pasar. El Anteproyecto de Ley debe ser llevado primero al Consejo de Ministros para su aprobación, para trasladarse posteriormente al Congreso de los Diputados, donde será negociada entre los diferentes grupos parlamentarios. El equilibrio de fuerzas actual en la cámara puede complicar alargar más de lo previsto la aprobación de la regulación.

La Directiva NIS

La Directiva europea se aprobó el 6 de julio de 2016 y entró en vigor un mes después. A partir de entonces se otorgó una moratoria de 21 meses para que los estados miembros adaptasen su normativa nacional al nuevo marco regulatorio. Este plazo finalizará el próximo 9 de mayo de 2018.

Según la Directiva NIS, las capacidades actuales no garantizan un elevado nivel de seguridad de las redes y sistemas de información dentro la Unión Europea (UE). Esto se debe a que cada país tiene una estrategia distinta, lo que no permite establecer un plan conjunto frente a los ciberataques.

La Directiva NIS quiere establecer una serie de requisitos mínimos para los operadores de servicios esenciales y los proveedores de servicios digitales. Quiere que gestionen de determinada manera la seguridad y que notifiquen los incidentes a las autoridades nacionales competentes. En el caso de España este ente es la Agencia Española de Protección de Datos (AEPD). El objetivo es conseguir una mayor cooperación entre todos los Estados miembros para establecer una estrategia conjunta en el área de ciberseguridad.