OBS Business School, institución perteneciente a la red de educación Planeta Formación y Universidades publica el informe La Ciberseguridad desde un enfoque
normativo, dirigido por el profesor y abogado especializado en Derecho Digital Ramón
Miralles. En él se compara la situación de la regulación en diferentes regiones geopolíticas: España, la Unión Europea, Latinoamérica y Estados Unidos.

La seguridad de la información ha dejado de ser una cuestión exclusivamente técnica para convertirse en un nuevo bien jurídico cuya protección se ha convertido en una prioridad en los actuales ordenamientos jurídicos. Pero la legislación aún va más allá atribuyendo a la ciberseguridad categoría de derecho. Sin embargo, el contexto de los ataques y el modus operandi de los ciberatacantes implica que desde cualquier lugar se puede diseñar un ataque contra un objetivo ubicado a miles de kilómetros sin que las fronteras físicas sean una barrera que pueda evitarlo, y tampoco las leyes, pues la inmensa mayoría tiene un alcance de aplicación territorial. La táctica que siguen las leyes que regulan la ciberseguridad, por tanto, es obligar a que se adopten las medidas de seguridad más adecuadas para mitigar los ciberriesgos pero fomentando además la cooperación entre instituciones y países, única vía para reforzar la capacidad de esas leyes.

Los procesos legislativos para regular la ciberseguridad son equivalentes en el contexto de los Estados de derecho, pero existen diferencias entre los países en cuanto a su nivel de despliegue. La diferencia no reside solo en la cultura jurídica y los mecanismos de regulación, también influye la capacidad de regular y de aplicar este tipo de leyes en cada país, lo cual a su vez está relacionado con su nivel de desarrollo económico y las prioridades a la hora de repartir los recursos del Estado y de las empresas.

Medidas legales en materia de ciberseguridad

Para hacer el cálculo del índice de ciberseguridad de un país se valoran las acciones llevadas a cabo en cinco pilares: legal, técnico, organizativo, desarrollo de capacidades y cooperación. El Global Cybersecurity Index (CGI) de 2024, elaborado por la Unión Internacional de Telecomunicaciones (UIT), organismo de la ONU especializado en las tecnologías digitales, muestra que la mayoría de los 194 países analizados tienen su mayor fortaleza en las medidas legales. 177 países tienen en vigor o en desarrollo al menos una regulación sobre protección de datos personales, protección de la privacidad o notificación de brechas de seguridad. 151 cuentan con una normativa de protección de datos. Y 104 disponen de regulaciones relacionadas con la protección de sus infraestructuras críticas.

La Unión Europea cuenta con un marco normativo de alta madurez que tiene por objeto proteger su infraestructura digital, garantizar la privacidad de los ciudadanos y fomentar la resiliencia frente a las ciberamenazas. La normativa específica en materia de ciberseguridad es la denominada Directiva NIS2, una regulación que aplica a los sectores esenciales y servicios digitales y que principalmente obliga a las entidades sujetas a la norma a implementar políticas de seguridad y a gestionar los riesgos de ciberseguridad y los ciberincidentes, incluyendo la obligación de notificar las brechas de seguridad a las autoridades competentes, formar a los empleados y responsabilizar a los directivos.

Como derivadas de esta directiva hay dos leyes especiales conocidas como Reglamento DORA y Reglamento MiCA. El primero tiene por objeto garantizar la resiliencia operativa digital del sector financiero frente a interrupciones graves causadas por fallos tecnológicos o ciberataques, y se aplica a bancos, aseguradoras, fintechs y proveedores críticos para el sector.

Esta ley añade, además, otras obligaciones: las relativas a la realización de pruebas de
resiliencia operativa y a la supervisión de terceros proveedores de TIC. Por su parte, el
Reglamento MiCA (Markets in Crypto-Assets) tiene por cometido regular los criptoactivos no cubiertos por la legislación financiera tradicional y se aplica a proveedores de servicios de criptoactivos y a emisores de tokens y plataformas de intercambio. MiCA no es una norma cuyo objeto principal sea la ciberseguridad, pero exige medidas de seguridad para plataformas de criptoactivos.

La UE también cuenta con el Reglamento de Ciberresiliencia, que aplica a “los productos con elementos digitales comercializados cuya finalidad prevista o uso razonablemente previsible incluya una conexión de datos directa o indirecta, lógica o física, a un dispositivo o red”. Y en cuanto a los ciberincidentes, cuya gestión como obligación se reitera en toda la normativa de ciberseguridad, también se regulan desde un punto de vista de la gobernanza haciendo foco en la necesaria cooperación. De ello se ocupa el denominado Reglamento de Cibersolidaridad, que refuerza las capacidades de la Unión.

Finalmente, el Reglamento de Ciberseguridad tiene por objeto reforzar el papel de ENISA (Agencia de la Unión Europea para la Ciberseguridad) y establecer un marco de certificación para productos y servicios TIC. Este reglamento busca proporcionar sistemas de certificación a escala de la UE mediante un conjunto completo de normas, requisitos técnicos y procedimientos que permitan evaluar las características de seguridad de un producto o servicio específico.

El marco regulatorio general de la ciberseguridad en Europa se completa con una serie de normas como el Reglamento General de Protección de Datos o las que regulan el comercio electrónico, los servicios digitales y las telecomunicaciones. Y para perseguir y enjuiciar las conductas relacionadas con los ciberataques existe la Directiva 2013/40/UE, que define las infracciones penales y las sanciones aplicables a los que los cometen. Pero a pesar de toda esta normativa, el profesor Miralles opina: “No es suficiente que existan normas, aunque es un primer paso; necesariamente debe haber mecanismos que permitan actuar contra los responsables de tales conductas a pesar de las dificultades que ello puede suponer en el contexto del ciberespacio”.

¿Qué ocurre en España?

La regulación sobre ciberseguridad en España está absolutamente vinculada a lo establecido por la Unión Europea, pero sin perjuicio de ello, existen también la Ley de Seguridad Nacional para la protección de infraestructuras críticas, la Estrategia Nacional de Ciberseguridad (de 2019 y actualmente en proceso de revisión) y el Plan Nacional de Ciberseguridad.

En cuanto a las directivas, que requieren de transposición al ordenamiento jurídico de cada estado miembro, España está en proceso de transposición de la Directiva NIS2 mediante el Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad, aprobado en enero pasado y todavía en proceso de tramitación legislativa. Algunas de las cuestiones que regula este anteproyecto es la creación del Centro Nacional de Ciberseguridad, con responsabilidad directa en materia de ciberseguridad de la Alta Dirección en aquellas entidades que sea esencial, la gestión de los riesgos y la adopción de las medidas adecuadas para garantizar la seguridad de sus redes y sistemas de información, lo que incluye evaluar también los servicios externos con acceso a datos críticos, la obligación de notificar incidentes significativos, así como la designación de responsables de seguridad de la información y la supervisión, y del cumplimiento de la norma por parte de autoridades sectoriales como Interior, Defensa y Transformación Digital.

Una de las normas españolas que abordan la ciberseguridad sin que se derive directamente de actos legislativos de la UE es el denominado Esquema Nacional de Seguridad (ENS), regulado por el Real Decreto 311/2022. Su cometido es establecer la política de seguridad en el uso de medios electrónicos por parte de las administraciones públicas y las entidades que colaboran con ellas.

En lo que respecta a instituciones públicas especializadas en ciberseguridad, en España existen el Centro Criptológico Nacional (CCN), el Instituto Nacional de Ciberseguridad (INCIBE) y, en el contexto de las cuerpos y fuerzas de seguridad, los grupos especializados en investigación tecnológica y delitos informáticos. Además, contamos con la fiscalía de delitos informáticos, que lleva a cabo la unificación de criterios relativos a los ciberdelitos y vela por una adecuada coordinación en las investigaciones.

En definitiva, el nivel de normas y gobernanza de España en materia de ciberseguridad se puede considerar maduro y necesario por el alto nivel de ciberataques de que es objeto. De hecho, es uno de los países más afectado del mundo, incluso superando a Estados Unidos e Israel.