El pasado 22 de junio se publicó el Reglamento n.º 756/2026, por el que se aplica el régimen jurídico de ciberseguridad. Este instrumento, junto con la puesta en marcha del portal de ciberseguridad del CNCS —MyCiber—, ha marcado el inicio de diversos plazos para que las entidades sujetas al nuevo régimen cumplan con sus obligaciones legales.
El régimen jurídico de ciberseguridad, que entró en vigor el pasado 3 de abril, amplió de manera decisiva el abanico de entidades y sectores que ahora deben cumplir con obligaciones en este ámbito. El Centro Nacional de Ciberseguridad pone a disposición una herramienta de diagnóstico que pueden utilizar tanto las entidades públicas como las privadas para determinar si están sujetas a estas obligaciones. Simulador MyCiber | ¿Está su entidad sujeta al DL 125/2025?
A partir del 23 de junio se inició un plazo de 60 días para que las entidades se registren en la plataforma e inicien el proceso de calificación que determinará las obligaciones a las que están sujetas. Tras la calificación, hay otro plazo de 20 días para comunicar quién es el responsable de ciberseguridad y quién el punto de contacto permanente. El plazo para enviar la lista de activos relevantes será el 31 de enero de 2027 o seis meses después de la notificación de la calificación definitiva. Por último, existe un plazo general que finaliza el 23 de junio de 2028 para la implementación total de las medidas de ciberseguridad y la presentación de informes anuales.
El reglamento ahora aprobado contiene el Marco Nacional de Referencia para la Ciberseguridad, la metodología de la Matriz de Riesgo y las medidas mínimas de ciberseguridad para las entidades privadas y públicas.
Para cualquier aclaración o asesoramiento jurídico sobre lo expuesto en esta nota informativa, puede ponerse en contacto con: comunicacion@santiagomediano.com