La aceleración de la transformación digital ha incrementado exponencialmente los riesgos en el entorno cibernético. En respuesta, la Unión Europea, a través de la directiva NIS2, exige mayores niveles de protección y resiliencia. En España, la aprobación del anteproyecto de la Ley de Coordinación y Gobernanza de la Ciberseguridad –que contempla sanciones de hasta 10 millones de euros para las compañías incumplidoras– marca un hito para reforzar la seguridad en sectores críticos. A continuación, se desglosan las principales implicaciones de esta normativa para el tejido empresarial.
Aunque la directiva NIS2 debía transponerse al ordenamiento interno antes del 18 de octubre de 2024, el Gobierno español no inició el proceso hasta la reciente aprobación del anteproyecto de ley por el Consejo de Ministros. El siguiente paso será someter la propuesta a consulta pública, para luego volver al Consejo de Ministros y, finalmente, tramitarla por la vía de urgencia en el Congreso de los Diputados. Se prevé que, en pocos meses, esta normativa sea de obligado cumplimiento, lo que obliga a las empresas a prepararse de inmediato para adaptar sus sistemas y procesos.
Ámbito de aplicación: ¿Qué empresas deberán cumplir la norma?
La Ley se dirige principalmente a las empresas que:
- Tienen residencia fiscal en España.
- Operan en sectores de alta criticidad o en sectores considerados críticos.
- Cuentan con 50 o más empleados.
- Registran un volumen de negocios anual superior a 10 millones de euros.
Sectores de alta criticidad
Entre ellos se incluyen 12 sectores fundamentales, tales como:
- Energía: Electricidad, sistemas de calefacción y refrigeración urbana, crudo, gas e hidrógeno.
- Transporte: Aéreo, ferroviario, marítimo, fluvial y por carretera.
- Banca e infraestructuras financieras.
- Salud, agua potable y aguas residuales.
- Infraestructura digital y gestión de servicios TIC.
- Administraciones públicas (con exclusiones específicas), espacio e industria nuclear.
Otros sectores críticos y casuísticas especiales
La norma también se extiende a sectores como servicios postales, gestión de residuos, productos químicos, alimentación, fabricación de productos sanitarios y tecnológicos, entre otros. Además, contempla casos especiales para proveedores de redes y servicios electrónicos, entidades únicas en ciertos servicios esenciales y organizaciones cuya interrupción podría desencadenar riesgos sistémicos o afectar la seguridad nacional.
Obligaciones diferenciadas: entidades esenciales vs. entidades importantes
La ley establece un doble régimen de obligaciones en función del impacto que tenga la empresa:
- Entidades esenciales: Incluyen empresas de alta criticidad, aquellas con 250 o más empleados y volúmenes de negocio superiores a 50 millones de euros, y proveedores clave de servicios de confianza. Estas deben obtener una certificación de conformidad que acredite el cumplimiento de las medidas de ciberseguridad.
- Entidades importantes: Aquellas que, sin alcanzar los umbrales de las entidades esenciales, deberán optar por la certificación o, alternativamente, realizar una autoevaluación de su postura de seguridad.
El Centro Nacional de Ciberseguridad (CNC) será el encargado de elaborar y actualizar periódicamente la lista de entidades esenciales e importantes, con el fin de garantizar una supervisión efectiva.
Medidas de gestión de riesgos y notificación de incidentes
Implementación de Medidas de Seguridad
El CNC determinará las medidas técnicas, operativas y organizativas que deberán implementar las empresas. Entre las exigencias mínimas se encuentran:
- Políticas de seguridad y análisis de riesgos: Establecer y documentar protocolos internos.
- Gestión de incidentes: Sistemas de respuesta rápida y recuperación ante desastres.
- Seguridad de la cadena de suministro: Asegurar que los proveedores cumplen con criterios de seguridad.
- Uso de criptografía, controles de acceso y autenticación multifactor: Garantizar la integridad y confidencialidad de la información.
Estas medidas deberán recogerse en una declaración de aplicabilidad, que las empresas deberán facilitar a la autoridad de control dentro de los seis meses siguientes a su clasificación como entidad esencial o importante.
Obligaciones de notificación
Las empresas estarán obligadas a:
- Notificar incidentes significativos: Enviar una alerta temprana en 24 horas, una notificación completa en 72 horas y un informe final en el plazo de un mes, a través de la Plataforma Nacional de Notificación y Seguimiento de Ciberincidentes gestionada por el CCN-CERT.
- Informar a los usuarios y proveedores afectados: En caso de incidentes que puedan generar perjuicios o repercusiones transfronterizas.
Responsabilidades de la Dirección y del Responsable de Seguridad
Funciones del Responsable de Seguridad de la Información
La ley obliga a designar un responsable de seguridad de la información, cuyas funciones incluyen:
- Elaborar y supervisar la estrategia de ciberseguridad.
- Gestionar incidentes y notificar a la autoridad de control.
- Velar por el cumplimiento de las mejores prácticas y estándares de seguridad.
En el caso de las entidades esenciales, este responsable deberá estar acreditado por el Ministerio del Interior y contar con la experiencia y recursos necesarios para ejercer sus funciones de manera efectiva.
Responsabilidad de los Órganos de Dirección
Los miembros de los órganos de dirección responderán solidariamente por las infracciones cometidas por la entidad. Se exige que reciban formación continua en materia de ciberseguridad y organicen capacitaciones periódicas para el personal, con el objetivo de detectar y gestionar los riesgos de forma proactiva.
Régimen sancionador y consecuencias económicas
El anteproyecto establece un régimen sancionador que varía según la gravedad de la infracción y la categoría de la entidad:
- Multas de hasta 10 millones de euros o el 2% del volumen de negocio: Para entidades esenciales que no implementen las medidas de gestión de riesgos o incumplan en la notificación de incidentes.
- Multas de hasta 7 millones de euros o el 1,4% del volumen de negocio: Para entidades importantes que incurran en infracciones similares.
- Sanciones adicionales: Por incumplimientos en la resolución de incidentes, información insuficiente o demoras en la implementación de medidas, que pueden oscilar entre 10.000 y 2 millones de euros según la gravedad.
Estas sanciones subrayan la importancia de que las empresas integren la ciberseguridad en su estrategia corporativa y adopten medidas preventivas y correctivas de forma inmediata.
La necesidad de Servicios de Ciberseguridad Integrales
Ante las exigencias de la nueva normativa, es fundamental que las empresas contraten servicios de ciberseguridad especializados, tales como:
- Auditorías de seguridad: Para identificar vulnerabilidades y definir estrategias de mitigación.
- Gestión de vulnerabilidades y pentesting: Para poner a prueba y reforzar las defensas existentes.
- Threat Hunting y respuesta a incidentes: Para detectar y neutralizar amenazas en fases tempranas.
La inversión en estos servicios no solo facilitará el cumplimiento normativo, sino que también fortalecerá la resiliencia de la empresa ante potenciales ciberataques.
Un cambio paradigmático para abordar la seguridad digital
La nueva Ley de Coordinación y Gobernanza de la Ciberseguridad representa un cambio paradigmático en la forma en que las empresas deben abordar la seguridad digital. Con un alcance que abarca desde la implementación de medidas técnicas y organizativas hasta la imposición de severas sanciones económicas, la normativa exige un compromiso decidido por parte del sector empresarial.
Para las compañías, adaptarse a esta legislación no es solo una obligación legal, sino una oportunidad para consolidar su posición en un entorno cada vez más digital y competitivo. Desde el blog del Procurador Francisco Franco González seguiremos analizando el impacto de estas reformas y ofreciendo asesoramiento jurídico que contribuya a fortalecer la seguridad y la competitividad de las empresas españolas.