Directiva (UE) NIS2: Un nuevo horizonte en ciberseguridad.
La Directiva (UE) NIS2, que entró en vigor en enero de 2023, establece requisitos estrictos para la protección de las infraestructuras críticas y la resiliencia de las redes y sistemas de información en toda la Unión Europea. Esta directiva amplía el alcance de la ciberseguridad a más sectores y organizaciones, imponiendo obligaciones específicas para la gestión de riesgos y la respuesta a incidentes, incluidas determinadas empresas de seguridad privada.
Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad.
En España, el Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad, aprobado en enero de 2025, busca incorporar la Directiva (UE) NIS2 al ordenamiento jurídico nacional. Este anteproyecto establece un marco institucional para la coordinación entre autoridades competentes en materia de ciberseguridad y crea el Centro Nacional de Ciberseguridad. Además, define claramente las entidades públicas y privadas que deben cumplir con las normas de ciberseguridad y establece la acreditación del personal encargado de la seguridad de la información.
Nuevos órganos de control.
Artículo 7.1.c) Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad. Autoridades de control, punto de contacto único y puntos de contacto sectoriales.
1. Son autoridades de control, encargadas de las funciones de supervisión y ejecución a que se refiere el Capítulo VI de esta ley, las siguientes:
(…)
c) El Ministerio del Interior, a través de la Oficina de Coordinación de Ciberseguridad de la Secretaría de Estado de Seguridad, para las entidades críticas y para las entidades esenciales de los sectores no incluidos en las letras a) o b), así como para todas las entidades esenciales e importantes del sector de seguridad privada.
CSIRT. Equipos de respuesta a incidentes de ciberseguridad.
Artículo 9.4. Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad. Equipos de respuesta a incidentes de ciberseguridad (CSIRT) nacionales de referencia.
Sin perjuicio de lo dispuesto para los ciberincidentes que afecten a entidades críticas, cuando las actividades que desarrollen puedan afectar a una entidad del sector de la seguridad privada, o en lo concerniente a la averiguación de delitos o descubrimiento y aseguramiento de delincuentes por parte de las Fuerzas y Cuerpos de Seguridad, los CSIRT nacionales de referencia se coordinarán con el Ministerio del Interior, a través de la Oficina de Coordinación de Ciberseguridad, de la Secretaría de Estado de Seguridad, asegurando su acceso a toda la información necesaria para el desempeño de sus funciones.
El Centro Nacional de Ciberseguridad garantizará la coordinación mencionada en el párrafo anterior.
Personal de ciberseguridad, acreditado en seguridad privada.
En el ámbito de la seguridad privada en España, la Ley 5/2014 ha sido un pilar fundamental desde su promulgación. Esta ley establece las bases para la habilitación del personal de seguridad privada (los que requieren TIP) incluyendo vigilantes de seguridad y de explosivos, escoltas privados, guardas rurales, guardas de caza, guardapescas marítimos, jefes y directores de seguridad. La ley también reconoce al personal acreditado: los profesores de centros de formación, ingenieros y técnicos y operadores de C.R.A. como personal acreditado, quienes desempeñan funciones esenciales en la formación y operación de los servicios de seguridad.
A falta de reglamento de seguridad privado concordante con la Ley, actualmente solo está establecido el procedimiento para acreditar a los profesores de seguridad privada (Orden INT/318/2011).
Sin embargo, el panorama de la seguridad está en constante evolución, especialmente con el creciente impacto de las ciberamenazas. La Directiva (UE) NIS2, aprobada por la Unión Europea, y su futura trasposición a la normativa española (actualmente Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad) están redefiniendo el concepto de personal acreditado en el ámbito de la ciberseguridad.
Introduce la figura del personal acreditado en ciberseguridad, que incluye a los responsables de seguridad de la información y otros profesionales que deben estar debidamente formados y certificados para cumplir con los nuevos estándares.
Más concretamente, esa futura Ley de Coordinación y Gobernanza de la Ciberseguridad recoge en las disposiciones finales la modificación de la Ley 5/2014, de 4 de abril, de Seguridad Privada para incluir al personal que realice tareas de ciberseguridad como personal acreditado:
Disposición final segunda Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad. Modificación de la Ley 5/2014, de 4 de abril, de Seguridad Privada.
Se modifica el apartado 9 del artículo 2 de la Ley 5/2014, de 4 de abril, de Seguridad Privada, que queda redactado como sigue:
“9. Personal acreditado: profesores de centros de formación, ingenieros y técnicos que desarrollen las tareas que les asignan esta ley; operadores de seguridad; y el personal que realice tareas de ciberseguridad en los casos que legal o reglamentariamente se determine.”
Venimos aquí a recordar que la propia Ley 5/2014, de Seguridad Privada ya preveía la posibilidad de realizar actividades -compatibles- de ciberseguridad a las empresas del sector:
Artículo 6.6. Ley 5/2014, de seguridad privada. Actividades compatibles.
6. A las empresas, sean o no de seguridad privada, que se dediquen a las actividades de seguridad informática, entendida como el conjunto de medidas encaminadas a proteger los sistemas de información a fin de garantizar la confidencialidad, disponibilidad e integridad de la misma o del servicio que aquéllos prestan, por su incidencia directa en la seguridad de las entidades públicas y privadas, se les podrán imponer reglamentariamente requisitos específicos para garantizar la calidad de los servicios que presten.
Integración de la Seguridad Privada y la ciberseguridad.
La integración de la seguridad privada y la ciberseguridad es esencial para enfrentar los desafíos actuales. La Ley 5/2014 ya reconoce la importancia de la formación y acreditación del personal de seguridad privada. Con la llegada de la Directiva (UE) NIS2 y el Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad, se refuerza la necesidad de contar con profesionales acreditados en ciberseguridad que puedan gestionar eficazmente los riesgos y responder a incidentes cibernéticos.
En conclusión, la evolución normativa y la combinación de la Ley 5/2014, la normativa de protección de infraestructuras críticas, la Directiva NIS2 y el Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad abre un nuevo marco de actuación de cara a la protección de los ciudadanos y la resiliencia frente a las amenazas emergentes.
