Nuevos avances en España sobre la directiva NIS 2 de ciberseguridad
Las empresas deberán realizar una evaluación individualizada de su riesgo y poner en marcha una serie de actuaciones para garantizar y elevar los niveles de seguridad de sus redes y sistemas de información
La Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo, conocida como Directiva NIS 2, tiene como objeto establecer las medidas que garanticen un elevado nivel de ciberseguridad en toda la Unión Europea con el objetivo de mejorar el funcionamiento del mercado interior.
La Directiva NIS 2 se publicó en el Diario Oficial de la Unión Europea (DOUE) el 27 de diciembre de 2022 y entró en vigor en enero de 2023. Como ocurre con otras directivas, cada Estado miembro tiene la obligación de incorporarla a su legislación nacional. En este caso, el plazo máximo para realizar esta transposición era el 17 de octubre de 2024. Sin embargo, la implementación de la directiva no ha sido uniforme entre los Estados miembros. Mientras algunos países llevan meses o incluso años preparándose para cumplir con este plazo, otros, como España, ya van tarde en el proceso.
Pasada la fecha límite del 17 de octubre de 2024, España seguía sin avances en la transposición de la Directiva NIS 2. Como resultado, el 28 de noviembre de 2024, la Comisión Europea inició procedimientos de infracción contra España y otros 22 Estados miembros por no haber incorporado plenamente la directiva en sus legislaciones nacionales dentro del plazo establecido.
No fue hasta el pasado 14 de enero de 2025 cuando el Consejo de ministros aprobó el anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad.
El anteproyecto aprobado define las entidades públicas y privadas sujetas a esta norma, organizándolas en sectores clave para garantizar el funcionamiento de la vida social y económica del país. Entre los sectores de alta criticidad se incluyen la energía; el transporte; la banca y los mercados financieros; el sector sanitario; el suministro de agua; las infraestructuras digitales; los servicios tecnológicos; las entidades de la administración pública y la industria nuclear. Asimismo, se contemplan sectores de menor criticidad, como los servicios postales y de mensajería; la gestión de residuos; la fabricación; producción y distribución de productos químicos; la producción y distribución de alimentos; los proveedores de servicios digitales; la investigación científica y la seguridad privada.
Estas entidades afectadas deberán realizar una evaluación individualizada de su riesgo y poner en marcha una serie de actuaciones para garantizar y elevar los niveles de seguridad de sus redes y sistemas de información, así como notificar los incidentes significativos que se produzcan en su operativa o en la prestación de sus servicios a fin de prevenir el riesgo de incidentes.
Asimismo, el anteproyecto establece la figura del responsable de la seguridad de la información quien asumirá el rol de punto de contacto y coordinará aspectos técnicos relacionados con la seguridad. Entre sus funciones principales se encuentran: elaborar y proponer para su aprobación la estrategia y las políticas de ciberseguridad de la organización, supervisar su correcta implementación y evaluar su efectividad, garantizar el cumplimiento de la normativa vigente sobre seguridad de redes y sistemas de información, y gestionar los incidentes relacionados con ciberseguridad.
En cuanto al régimen de gobernanza, el anteproyecto crea el Centro Nacional de Ciberseguridad, órgano de contacto único con la Unión Europea adscrito a la Secretaría General de Presidencia del Gobierno que se encargará de la dirección, impulso y coordinación en la materia, garantizará la cooperación intersectorial y transfronteriza con otras autoridades competentes y será autoridad de gestión de las crisis de ciberseguridad.
Por el momento, no se dispone de más información, pero se prevé que el anteproyecto sea aprobado en las próximas semanas, ya que se le ha otorgado carácter de urgencia para su tramitación. Esto busca cumplir con el plazo de dos meses establecido por la Comisión Europea para notificar las medidas adoptadas y evitar la posible imposición de sanciones económicas a España por el retraso en la transposición de la Directiva NIS 2.
El retraso en la transposición de la Directiva NIS 2 en España ha generado una gran incertidumbre normativa para las empresas obligadas a cumplirla, al no disponer de un marco legal adaptado que clarifique sus obligaciones, plazos y procedimientos a seguir, sobre todo teniendo en cuenta el régimen sancionador dispuesto por la directiva NIS 2 que contempla multas de hasta los 10.000.000 €.
Sin embargo, a pesar de la incertidumbre, las empresas pueden adoptar medidas proactivas para reducir riesgos y estar preparadas. Estas acciones incluyen revisar los requisitos de la NIS 2, realizar auditorías de riesgos, fortalecer sus políticas de ciberseguridad siguiendo estándares internacionales o certificaciones reconocidas como la ISO/IEC 27001, y adelantarse a los cambios legislativos. Esto último puede lograrse mediante la implementación de protocolos para la notificación de incidentes y la creación de sistemas de gobernanza en ciberseguridad, basándose en la información preliminar del anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad.