En un mundo cada vez más interconectado y digitalizado (sólo basta ver la brújula digital 2030), la ciberseguridad se ha convertido en un aspecto fundamental tanto para las empresas, el sector público y para la sociedad en general.
En este contexto, el anuncio del ministro para la Transformación Digital , José Luis Escrivá, de elaborar una norma que aglutine toda la regulación en esta materia ha abierto un debate acerca de la necesidad de compilar todas las normas que, actualmente y en el futuro más cercano, van a resultar de aplicación en España.
No podemos negar que una ley de ciberseguridad integral debe tener, entre sus principales objetivos, el de proporcionar un marco legal único con el que abordar los desafíos cada vez más sofisticados a los que enfrentamos en el ciberespacio. Como es sabido, tal labor ya se llevó a cabo con la publicación del código electrónico de Derecho de la Ciberseguridad (BOE), cuyo autor es también el que suscribe, que, aun careciendo de oficialidad como texto refundido, cumple oficiosamente con su función de unificar la normativa española en la materia y de servir de herramienta útil para los profesionales de este sector.
Además, a la vista de toda la normativa que está por venir en los próximos meses, no parece viable (ni recomendable) asumir una empresa de tal naturaleza a corto plazo. Por lo menos hasta que no se hayan terminado de transponer las normas que, actualmente, están todavía en fase de aprobación, además de otras que -como el Reglamento de IA, por citar alguna norma reciente- tratan la ciberseguridad de forma sectorial.
Aprovechando los trabajos de transposición de la Directiva NIS y de la de Resiliencia de Entidades críticas, la propuesta de una ley de ciberseguridad integral podría tener utilidad a la hora de proporcionar un marco homogéneo para la cooperación entre el sector público y privado (especialmente con los CSIRT), promoviendo la colaboración y el intercambio de información para hacer frente a las amenazas cibernéticas de manera efectiva. Aspectos estos que se encuentran dispersos en varias normas y estrategias, que han diseñado un escenario regulatorio de difícil aplicación. Asimismo, podría ser un buen momento para adecuar otras normativas (como el código penal, la ley de sociedades de capital, la ley de mercado de valores, la ley de contrato de seguro, el estatuto de los trabajadores, etc.) que pueden requerir una actualización a las nuevas circunstancias que traen consigo los riesgos y amenazas cibernéticas.
Una ley de esta naturaleza también enviaría una señal clara sobre el compromiso de España con la protección de sus ciudadanos, sus empresas y su infraestructura digital. Esto podría fomentar la confianza de los inversores y empresas internacionales, así como mejorar la posición de España en el ámbito digital a nivel global, que parece haber perdido cierta capacidad de influencia en estos últimos años.
Una ley de ciberseguridad no solo deberá centrarse en aspectos técnicos, sino también en aspectos legales, éticos y educativos. Deberá garantizar los derechos y libertades individuales en línea, promover la conciencia y la educación sobre seguridad cibernética y establecer mecanismos efectivos de supervisión y cumplimiento, que refleje que la seguridad cibernética no es solo un desafío técnico, sino una cuestión de soberanía, seguridad nacional y protección de derechos fundamentales en la era digital, así como de gobernanza empresarial y sostenibilidad.
En conclusión, la implementación de una ley de ciberseguridad integral, sin perjuicio de la complejidad del proyecto (tanto por el volumen de normativa existente como en tiempos), puede suponer una iniciativa eficaz de cara a reforzar la seguridad jurídica de España en el ciberespacio actual si no se limita a compilar lo existente, sino que lleva a cabo una actividad de compilación serena y rigurosa y, sobre todo, sostenible en el tiempo.