El informe La Ciberseguridad desde un enfoque normativo, publicado por OBS Business School, de Planeta Formación y Universidades, y dirigido por el profesor y abogado especializado en Derecho Digital Ramón Miralles, subraya que la seguridad de la información ha dejado de ser una cuestión exclusivamente técnica para convertirse en un nuevo bien jurídico cuya protección se ha convertido en una prioridad. Pero la legislación aún va más allá atribuyendo a la ciberseguridad categoría de derecho.
Sin embargo, el contexto de los ataques y el modus operandi de los ciberatacantes implica que desde cualquier lugar se puede diseñar un ataque contra un objetivo ubicado a miles de kilómetros sin que las fronteras físicas sean una barrera que pueda evitarlo, y tampoco las leyes, pues la inmensa mayoría tiene un alcance de aplicación territorial.
La táctica que siguen las leyes que regulan la ciberseguridad, por tanto, es obligar a que se adopten las medidas de seguridad más adecuadas para mitigar los ciberriesgos pero fomentando además la cooperación entre instituciones y países, única vía para reforzar la capacidad de esas leyes. Los procesos legislativos para regular la ciberseguridad son equivalentes en el contexto de los Estados de derecho, pero existen diferencias entre los países en cuanto a su nivel de despliegue.
La diferencia no reside solo en la cultura jurídica y en los mecanismos de regulación. También influye la capacidad de regular y de aplicar este tipo de leyes en cada país, lo cual a su vez está relacionado con su nivel de desarrollo económico y las prioridades a la hora de repartir los recursos del Estado y de las empresas.
Índice de Ciberseguridad
Para hacer el cálculo del índice de ciberseguridad de un país se valoran las acciones llevadas a cabo en cinco pilares: legal, técnico, organizativo, desarrollo de capacidades y cooperación. El Global Cybersecurity Index (CGI) de 2024, elaborado por la Unión Internacional de Telecomunicaciones (UIT), organismo de la ONU especializado en las tecnologías digitales, muestra que la mayoría de los 194 países analizados tienen su mayor fortaleza en las medidas legales. 177 países tienen en vigor o en desarrollo al menos una regulación sobre protección de datos personales, protección de la privacidad o notificación de brechas de seguridad. 151cuentan con una normativa de protección de datos. Y 104 disponen de regulaciones relacionadas con la protección de sus infraestructuras críticas.
La Unión Europea cuenta con un marco normativo de alta madurez que tiene por objeto proteger su infraestructura digital, garantizar la privacidad de los ciudadanos y fomentar la resiliencia frente a las ciberamenazas.
La normativa específica en materia de ciberseguridad es la Directiva NIS2, una regulación que aplica a los sectores esenciales y servicios digitales y que principalmente obliga a las entidades sujetas a la norma a implementar políticas de seguridad y a gestionar los riesgos de ciberseguridad y los ciberincidentes, incluyendo la obligación de notificar las brechas de seguridad a las autoridades competentes, formar a los empleados y responsabilizar a los directivos.
Como derivadas de esta Directiva hay dos leyes especiales conocidas como Reglamento DORA y Reglamento MiCA. El primero tiene por objeto garantizar la resiliencia operativa digital del sector financiero frente a interrupciones graves causadas por fallos tecnológicos o ciberataques, y se aplica a bancos, aseguradoras, fintechs y proveedores críticos para el sector. Esta ley añade, además, otras obligaciones: las relativas a la realización de pruebas de resiliencia operativa y a la supervisión de terceros proveedores de TIC.
Por su parte, el Reglamento MiCA (Markets in Crypto-Assets) tiene por cometido regular los criptoactivos no cubiertos por la legislación financiera tradicional y se aplica a proveedores de servicios de criptoactivos y a emisores de tokens y plataformas de intercambio. MiCA no es una norma cuyo objeto principal sea la ciberseguridad, pero exige medidas de seguridad para plataformas de criptoactivos.
La UE también cuenta con el Reglamento de Ciberresiliencia, que aplica a “los productos con elementos digitales comercializados cuya finalidad prevista o uso razonablemente previsible incluya una conexión de datos directa o indirecta, lógica o física, a un dispositivo o red”. Y en cuanto a los ciberincidentes, cuya gestión como obligación se reitera en toda la normativa de ciberseguridad, también se regulan desde un punto de vista de la gobernanza haciendo foco en la necesaria cooperación. De ello se ocupa el denominado Reglamento de Cibersolidaridad,que refuerza las capacidades de la Unión.
Finalmente, el Reglamento de Ciberseguridad tiene por objeto reforzar el papel de ENISA(Agencia de la Unión Europea para la Ciberseguridad) y establecer un marco de certificación para productos y servicios TIC. Este reglamento busca proporcionar sistemas de certificación a escala de la UE mediante un conjunto completo de normas, requisitos técnicos y procedimientos que permitan evaluar las características de seguridad de un producto o servicio específico.
El marco regulatorio general de la ciberseguridad en Europa se completa con una serie de normas como el Reglamento General de Protección de Datos o las que regulan el comercio electrónico, los servicios digitales y las telecomunicaciones. Y para perseguir y enjuiciar las conductas relacionadas con los ciberataques existe la Directiva 2013/40/UE, que define las infracciones penales y las sanciones aplicables a los que los cometen.
Pero a pesar de toda esta normativa, el profesor Miralles opina: “No es suficiente que existan normas, aunque es un primer paso; necesariamente debe haber mecanismos que permitan actuar contra los responsables de tales conductas a pesar de las dificultades que ello puede suponer en el contexto del ciberespacio”.
¿Qué ocurre en España?
La regulación sobre ciberseguridad en España está absolutamente vinculada a lo establecido por la Unión Europea, pero sin perjuicio de ello, existen también la Ley de Seguridad Nacional para la protección de infraestructuras críticas, la Estrategia Nacional de Ciberseguridad (de 2019 y actualmente en proceso de revisión) y el Plan Nacional de Ciberseguridad.
En cuanto a las Directivas, que requieren de transposición al ordenamiento jurídico de cada estado miembro, España está en proceso de transposición de la Directiva NIS2 mediante el Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad, aprobado en enero de 2025 y todavía en proceso de tramitación legislativa. Algunas de las cuestiones que regula este anteproyecto es la creación del Centro Nacional de Ciberseguridad, con responsabilidad directa en materia de ciberseguridad de la Alta Dirección en la entidad que sea esencial, la gestión de los riesgos y la adopción de las medidas adecuadas para garantizar la seguridad de sus redes y sistemas de información, lo que incluye evaluar también los servicios externos con acceso a datos críticos, la obligación de notificar incidentes significativos, así como la designación de responsables de seguridad de la información y la supervisión, y del cumplimiento de la norma por parte de autoridades sectoriales como Interior, Defensa y Transformación Digital.
Una de las normas españolas que abordan la ciberseguridad sin que se derive directamente de actos legislativos de la UE es el Esquema Nacional de Seguridad (ENS), regulado por el Real Decreto 311/2022. Su cometido es establecer la política de seguridad en el uso de medios electrónicos por parte de las administraciones públicas y las entidades que colaboran con ellas.
En lo que respecta a instituciones públicas especializadas en ciberseguridad, en España existen el Centro Criptológico Nacional (CCN), el Instituto Nacional de Ciberseguridad (INCIBE) y, en el contexto de las cuerpos y fuerzas de seguridad, los grupos especializados en investigación tecnológica y delitos informáticos. Además, contamos con la fiscalía de delitos informáticos, que lleva a cabo la unificación de criterios relativos a los ciberdelitos y vela por una adecuada coordinación en las investigaciones.
En definitiva, "el nivel de normas y gobernanza de España en materia de ciberseguridad se puede considerar maduro y necesario por el alto nivel de ciberataques de que es objeto. De hecho, es uno de los países más afectado del mundo, incluso superando a EEUU e Israel", subraya el estudio.
Cuentos de ciberseguridad
Marsh, el bróker de seguros y consultor de riesgos del grupo Marsh McLennan, y Telefónica Seguros han presentado el libro “Cuentos de ciberseguridad”, de Francisco Pérez Bes, adjunto de la Agencia Española de Protección de Datos.
Es una recopilación de historias para toda la familia que no solo incluye relatos sino consejos en materia de privacidad y seguridad a modo de conclusión de cada uno de éstos. Busca destacar la importancia de la educación en ciberseguridad desde edades tempranas, ofreciendo a las familias una herramienta pedagógica accesible y entretenida.
Augusto Pérez Arbizu, director global de Riesgos y Seguros de Telefónica, explica que "trabajamos para trasladar nuestra experiencia en materia de riesgos digitales a nuestros clientes y a la sociedad en general, con soluciones específicas para pymes, autónomos y familias.
Javier Ybarra, Managing Director del área de riesgos financieros, profesionales y de ciberseguridad de Marsh España, subraya la importancia de concienciar y acompañar a los niños ya que utilizan la tecnología desde muy pequeños: “La ciberseguridad ya no es un tema técnico sino de ámbito social; los niños y los jóvenes utilizan la tecnología sin conocer los riesgos que conlleva, como la suplantación de identidad, por lo que en la actualidad tenemos la responsabilidad de educarnos y saber educar a las nuevas generaciones para protegerlas”.
Francisco Pérez Bes (Barcelona 1973) es abogado, profesor universitario, y uno de los más destacados juristas en Derecho Digital. De 2014 a 2019 fue el Secretario General del Instituto Nacional de Ciberseguridad de España (INCIBE), desde donde ayudó a impulsar la protección de los menores en internet a través del servicio Is4k (Internet Segura for Kids).