Toca invertir más en ciberseguridad para evitar sanciones de hasta diez millones
La directiva europea NIS2 amplía las obligaciones de protección de datos para pequeñas y medianas empresas que participen en sectores críticos para la economía como banca, energía o telecos
El pasado 3 de marzo, El Corte Inglés hizo público que sus sistemas sufrieron un ciberataque debido al fallo de uno de sus proveedores. Los delincuentes consiguieron acceso a los datos identificativos y de contacto de sus clientes. Este es el último ejemplo de un problema cada vez más frecuente: en 2023, las empresas españolas recibieron 22.000 ataques, un 22% más que el año anterior, según el Instituto Nacional de Ciberseguridad (Incibe). Para contrarrestar esta creciente amenaza y “lograr un alto nivel común de ciberseguridad”, la Unión Europea aprobó en 2023 la Directiva NIS2, con especial énfasis en las pequeñas y medianas empresas que trabajan en sectores críticos.
Las pymes de energía, trasporte, banca, telecos, salud, química, entre las más afectadas por la norma
“La NIS2 impone mayor responsabilidad en la gestión de riesgos, multas más severas y una supervisión más estricta”, resume Xavier Tarragó, responsable de soluciones profesionales en MediaMarkt España. A diferencia de su predecesora, la NIS2 amplía su aplicación a 18 sectores estratégicos, entre los que se encuentran la energía, el transporte, la banca, las telecomunicaciones, la salud, la industria química y hasta la gestión de residuos. La norma se aplica a medianas empresas (entre 50 y 250 empleados o con un volumen de negocio anual inferior a los 50 millones de euros) y a pequeñas empresas (menos de 50 trabajadores) si se considera que su actividad es esencial para la sociedad o la economía.
Uno de los puntos más exigentes de la NIS2 es la obligación de notificar incidentes graves en menos de 24 horas y presentar un informe en menos de 72 horas. “Si te hackean y no lo dices rápido, el problema no es solo el ataque, sino la sanción que te puede caer por no haber informado”, alerta el divulgador Luis Corrons. El caso de El Corte Inglés es un ejemplo claro: la brecha de seguridad no fue directa, sino que se produjo a través de un proveedor externo. La compañía notificó la filtración. “Si una pyme sufre una filtración masiva y es clave en la cadena de suministro de una gran empresa, el impacto puede ser enorme”, advierte Sancho Lerena, CEO de Pandora FMS, una empresa especializada en la creación de software para ciberseguridad.
“La nueva normativa te afecta sobre todo si eres proveedor de una empresa esencial”, avisa Lerena. Los directivos también pueden ser responsables directos del cumplimiento de la norma, y las sanciones pueden alcanzar los 10 millones de euros o el 2% de la facturación global. Para las empresas clasificadas como “importantes”, el tope es de siete millones o el 1,4%. “Las consecuencias no son solo económicas: las autoridades podrán ordenar medidas correctivas inmediatas”, apunta Guillermo Caro, abogado especializado en nuevas tecnologías de Monlex Abogados.
En 2023 se registraron 22.000 ciberataques a compañías españolas, según el Incibe
Los Estados miembros de la Unión tenían hasta el 17 de octubre de 2024 para adaptar esta norma a su legislación nacional, pero España no ha llegado a tiempo y la directiva ha quedado en el limbo. Sin embargo, “hasta que no se transponga la normativa europea NIS2 a España, no habrá sanciones”, asegura Caro. El Gobierno ha aprobado el anteproyecto de la Ley de Coordinación y Gobernanza de la Ciberseguridad, pero el proceso legislativo sigue en marcha y la ley aún no está en vigor.
El 98,8% del tejido empresarial español son pymes, muchas sin equipos de ciberseguridad propios. Tres de cada cuatro a escala global han sido víctimas de un ciberataque en el último año, con datos de la Global Ransomware Survey 2024. El 86% de las organizaciones considera que sus empleados no tienen una cultura de ciberseguridad adecuada, desvela un informe de la consultora PwC. Esto es especialmente preocupante cuando la mayoría de los ataques a las grandes compañías se producen a través de terceros.
Para algunas pymes, cumplir con la NIS2 implica un coste elevado. “La mayoría no puede asumir estos gastos, por lo que delegarán la ciberseguridad en terceros”, señala Lerena. Las empresas que ya cumplen con el Esquema Nacional de Seguridad (ENS) tendrán una transición más sencilla. Pero otras lo tendrán mucho peor. “Muchas desconocen que la normativa les afecta o subestiman los riesgos del incumplimiento. Eso puede retrasar la inversión en ciberseguridad hasta que ya es demasiado tarde”, alerta Tarragó.
Claves de la nueva normativa
Notificación. Las empresas afectadas por un ciberataque deberán informar a las autoridades competentes en un plazo máximo de 24 horas. Antes de las 72 horas deberán presentar un informe detallado con el impacto del incidente y las medidas adoptadas. La norma busca mejorar la respuesta ante ataques y reducir su impacto en los sectores estratégicos.
Responsabilidad. La regulación establece que los órganos de dirección de las empresas afectadas sean responsables de la gestión de la ciberseguridad. Se prevén sanciones a directivos en caso de negligencia grave, que pueden incluir medidas correctivas o incluso su suspensión temporal.
Control. Las compañías deberán asegurarse de que sus proveedores cumplan con los estándares de seguridad exigidos. Esta obligación afecta especialmente a pymes que forman parte de la cadena de suministro de grandes compañías. Un fallo en un proveedor puede comprometer datos sensibles de toda la organización.
Sanciones. Las multas por incumplimiento pueden llegar a 10 millones de euros o al 2% de la facturación global para las entidades esenciales, y siete millones o el 1,4% del volumen de negocio para las entidades importantes. Además, las empresas que no cumplan pueden enfrentarse a restricciones operativas.
Prevención. Las empresas deberán implementar planes de respuesta ante incidentes, auditorías de seguridad y encriptación de datos, además de formar a sus empleados en gestión de riesgos. Para muchas pymes, esto supone un reto por la inversión en personal y tecnología que implica.
