El Gobierno de España aprobó hace unas semanas el «Anteproyecto de Ley de coordinación y gobernanza de la ciberseguridad». Un texto que obligará a las Administraciones locales a adoptar nuevas medidas en su organización, funcionamiento y actividades. Es cierto que se trata de un anteproyecto y, por tanto, pasará tiempo hasta que se publique en el Boletín oficial del Estado. Han de seguirse conocidos trámites, diferentes órganos colegiados deben informar e ilustrar cómo aquilatar con rigor su contenido, las Cámaras legislativas deliberarán y probablemente incorporarán enmiendas. Siendo consciente de ello, llamo no obstante la atención sobre un anteproyecto cuya redacción actual merece ser corregida desde el mismo título y que debería completarse con el fin de satisfacer las mínimas exigencias establecidas por el Derecho de la Unión Europea.
Ese anteproyecto tiene como propósito incorporar las previsiones contenidas en la Directiva sobre seguridad de las redes y los sistemas de información que se aprobó el 14 de diciembre de 2022 (tiene por número 2555). Tal obligación tenía que haberse satisfecho antes del 17 de octubre pasado con el fin de que pudiera aplicarse de manera efectiva a partir del día siguiente, lo que ha llevado a la Comisión Europea a iniciar un procedimiento por infracción del Derecho de la Unión. Como se ha iniciado igualmente otro procedimiento de infracción ante la falta de aprobación de una ley que incorpore las medidas establecidas en otra Directiva -aprobada en la misma fecha, la número 2557-, con el fin de proteger los sistemas de las denominadas «entidades críticas». Esto es, y a los efectos que aquí interesan para el mundo local, aquellas como el abastecimiento de agua y su depuración, cuya interrupción puede perturbar de manera muy significativa la prestación del servicio. En este caso, no se conoce todavía ningún anteproyecto de ley.
Con objeto de incrementar el nivel de seguridad de las redes y los sistemas de información, además de deberes específicos que han de asegurar los Estados miembros, se señalan obligaciones concretas para aquellas Administraciones y empresas según se califiquen de «esenciales» e «importantes». Tales adjetivos señalan dos categorías con obligaciones distintas.
La Directiva deja discreción a los Estados miembros para determinar el concreto ámbito de aplicación con relación a las Administraciones locales. Y es aquí donde empezamos a encontrar incoherencias, pues se consideran «esenciales», además de las Diputaciones, Cabildos y Consejos insulares, los «Municipios de gran población»; mientras que se atribuye el carácter de «importante», aquellos cuya población alcance los 20.000 habitantes.
La diferencia de régimen jurídico no tendría mayor relevancia si el concepto de Municipio de «gran población» fuera unívoco. Pero los conocedores del Derecho local español saben que hay varios Ayuntamientos que acordaron asumir tal régimen especial contando con un censo de población de poco más de cincuenta mil habitantes, mientras que otros Ayuntamientos con el doble de población no tienen tal régimen especial. ¿Ignora este detalle el Gobierno? ¿Cómo justificará exigir mayores obligaciones a unos ayuntamientos con menos población frente a otros que cuentan con más vecinos?
Pero, sobre todo, el anteproyecto desaprovecha la ocasión para introducir medidas en todos los municipios, con independencia de su población. Las actuales previsiones del Esquema Nacional de Seguridad, algunas instrucciones de seguridad, deben actualizarse y mejorarse. Es más, debe garantizarse que se adoptan en todas las Corporaciones locales, pues son escasas las que cuentan con la certificación de su cumplimiento, a pesar de la ayuda que facilita el Centro Criptológico Nacional.
Porque todos los municipios pueden ser víctimas de secuestro. Resulta innecesario recordar que las Administraciones constituyen uno de los principales objetivos de estos nuevos piratas que navegan por las redes. Pero, sobre todo, son eslabones en la cadena interconectada entre las diversas instituciones y organismos por lo que pueden ser utilizados para propagar un ataque. ¿O se olvidan las comunicaciones que tienen, por ejemplo, con los juzgados?
Una vez más, mancomunidades, comarcas o diputaciones pueden desempeñar un papel indispensable.
Por ello, frente a las demoras del Gobierno conviene insistir en la necesidad de incorporar las medidas adecuadas que protejan ante intrusiones informáticas, así como las que favorecen la asistencia ante los incidentes y la rápida restauración del servicio. Porque los piratas actúan con agilidad y no se demoran.
