Informe OBS: España y su normativa de ciberseguridad
El nivel de ciberataques que padece España supera a EE.UU. e Israel
Septiembre 2025. OBS Business School, institución de Planeta Formación y Universidades, ha publicado el informe La Ciberseguridad desde un enfoque normativo, dirigido por el profesor y abogado especializado en Derecho Digital Ramón Miralles. Este documento compara la regulación en España, Estados Unidos, Latinoamérica y la Unión Europea.
La seguridad de la información ha dejado de ser un tema técnico para convertirse en un bien jurídico y en un derecho, lo que obliga a adoptar medidas de seguridad y fomentar la cooperación internacional, única vía para reforzar la efectividad de las leyes frente a ataques que no reconocen fronteras.
Los procesos legislativos son similares en los Estados de derecho, pero existen diferencias en el grado de aplicación según la cultura jurídica, la capacidad de regulación y el nivel de desarrollo económico de cada país.
Medidas legales en materia de ciberseguridad
El Global Cybersecurity Index 2024 de la UIT evalúa a 194 países en cinco pilares: legal, técnico, organizativo, capacidades y cooperación. La mayoría destaca en el ámbito legal: 177 cuentan con regulaciones sobre protección de datos, privacidad o brechas de seguridad; 151 tienen leyes específicas de protección de datos y 104 regulan infraestructuras críticas.
La Unión Europea dispone de un marco normativo maduro con la Directiva NIS2 como eje central, que obliga a gestionar riesgos, notificar incidentes, formar al personal y responsabilizar a la dirección. De ella derivan regulaciones como DORA, que garantiza la resiliencia digital en el sector financiero, y MiCA, que regula los criptoactivos exigiendo medidas de seguridad en las plataformas. También se suman el Reglamento de Ciberresiliencia, centrado en productos digitales conectados; el Reglamento de Cibersolidaridad, que refuerza la cooperación ante incidentes; y el Reglamento de Ciberseguridad, que fortalece el papel de ENISA y establece un marco de certificación TIC.
El marco europeo se completa con el RGPD, normas sobre servicios digitales y telecomunicaciones, y la Directiva 2013/40/UE contra delitos informáticos. No obstante, Miralles advierte que las normas no bastan si no existen mecanismos eficaces para actuar contra los responsables en el ciberespacio.
¿Qué ocurre en España?
La normativa española está alineada con la europea, pero también cuenta con la Ley de Seguridad Nacional para la protección de infraestructuras críticas, la Estrategia Nacional de Ciberseguridad (2019, en revisión) y el Plan Nacional de Ciberseguridad. Actualmente se tramita el Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad, que contempla la creación del Centro Nacional de Ciberseguridad, la gestión de riesgos, la notificación obligatoria de incidentes, la designación de responsables de seguridad y la supervisión de autoridades sectoriales.
España dispone además del Esquema Nacional de Seguridad (ENS), que fija la política de seguridad en el uso de medios electrónicos de la administración pública. En cuanto a instituciones, destacan el Centro Criptológico Nacional, el INCIBE, las unidades policiales de investigación tecnológica y la fiscalía de delitos informáticos, encargada de coordinar la persecución de ciberdelitos.
En definitiva, España cuenta con un marco normativo y de gobernanza en ciberseguridad maduro y necesario, dado el elevado número de ciberataques que recibe, situándose incluso por encima de Estados Unidos e Israel.
Contenido elaborado por:
Carmen García-Trevijano
Gabinete de Prensa de OBS Business School
DESCARGAR INFORME
