La Ley de Ciberresiliencia, sobre la que escribimos en nuestro artículo titulado ”LEY DE CIBERRESILIENCIA. PROCEDIMIENTOS NECESARIOS PARA LOS PRODUCTOS DIGITALES EN LA UE” entró en vigor el 10 de diciembre de 2024.
Junto a esta Ley de Ciberresiliencia, una pieza clave de la legislación sobre ciberseguridad en la UE es la Directiva sobre Redes y Sistemas de Información (Directiva NIS). La Directiva NIS fue una legislación pionera de la UE que, en un contexto de crecientes incidentes de seguridad, se introdujo para garantizar la naturaleza transfronteriza de internet. Esta fue aprobada el 6 de julio de 2016, y entró en vigor el 8 de agosto de 2016, con el objetivo garantizar la seguridad digital entre los Estados miembros.
Con el propósito de mejorar las capacidades de ciberseguridad de los Estados miembros a través de herramientas de supervisión más amplias, claras y eficaces, la Directiva NIS fue derogada, dando paso a la Directiva (UE) 2022/2555 (Directiva NIS2), que entró en vigor el 16 de enero de 2023. La Directiva NIS2 exige la adaptación de la legislación nacional en cada Estado miembro antes del 17 de octubre de 2024 (artículo 41 de la Directiva NIS2).
En este artículo analizaremos las principales modificaciones en la Directiva NIS2 y su aplicación en España.
I.- Modificaciones introducidas por la Directiva NIS2
1) Ámbito de aplicación de sectores
En la Directiva NIS, el ámbito de aplicación se limitaba a los operadores de los sectores de la energía, el transporte, la banca, las infraestructuras de los mercados financieros, el sector sanitario, el agua, la energía y los proveedores de servicios digitales.
Con la Directiva NIS2, se amplía la cobertura a los siguientes sectores:
- SECTORES DE ALTA CRITICIDAD (ANEXO I de la Directiva NIS2)
Energía, transporte, banca, infraestructuras de los mercados financieros, sector sanitario, aguas potables, aguas residuales, infraestructura digital, gestión de servicios de TIC (de empresa a empresa), administración pública, y el espacio.
- OTROS SECTORES CRÍTICOS (ANEXO II de la Directiva NIS2)
Servicios postales y de mensajería, gestión de residuos, fabricación, producción y distribución de sustancias y mezclas químicas, producción, transformación y distribución de alimentos, fabricación de determinados productos (definidos en el Anexo II), proveedores de servicios digitales, investigación
Las entidades en el ámbito de la Directiva NIS2 pueden identificarse o ser designadas como esenciales o importantes dependiendo de factores como su tamaño, sector o la criticidad de sus actividades.
2) Sanciones.
En la Directiva NIS, las sanciones por incumplimiento debían ser establecidas por cada Estado miembro.
Bajo la Directiva NIS2, las entidades esenciales serán sancionadas con multas administrativas de al menos 10 millones de euros o del 2% del volumen de negocios anual total a nivel mundial de la empresa, optándose por la de mayor cuantía. Además, las entidades importantes podrán ser sancionadas con multas administrativas de al menos 7 millones de euros o del 1,4% del volumen de negocios anual total a nivel mundial de la empresa, optándose por la de mayor cuantía.
3) Obligaciones.
Destacamos dos aspectos principales de las obligaciones introducidas por la Directiva NIS2.
(a) Notificación de incidentes.
Aunque la Directiva NIS no exigía un plazo para la notificación de incidentes, el artículo 23.4 a) de la Directiva NIS2 exige una alerta temprana en el plazo de 24 horas desde que se haya tenido constancia de un incidente significativo. El apartado b) exige una notificación que contenga una evaluación inicial del incidente significativo, incluyendo su gravedad e impacto, así como indicadores de compromiso etc.
Y el apartado d) exige un informe definitivo sobre los detalles del incidente, que debe incluir el tipo de amenaza, o causa principal, las medidas paliativas aplicadas y en curso, y las repercusiones transfronterizas del incidente, a más tardar un mes después de presentar la notificación del apartado b).
(b) Gestión de riesgos de ciberseguridad.
El artículo 21.2 de la Directiva NIS2 obliga a las entidades esenciales a adoptar medidas de gestión de riesgos de ciberseguridad, incluidos los siguientes elementos:
a) Políticas de seguridad y análisis de riesgos.
b) Gestión de incidentes.
c) Continuidad de actividades, como gestión de copias de seguridad, recuperación en caso de catástrofe y gestión de crisis.
d) Seguridad de la cadena de suministro.
e) Seguridad en adquisición, desarrollo y mantenimiento de sistemas.
f) Evaluación de eficacia de las medidas.
g) Prácticas de ciberhigiene y formación.
h) Uso de criptografía y cifrado.
i) Seguridad de recursos humanos, políticas de acceso y gestión de activos.
j) Soluciones de autenticación multifactorial y sistemas de comunicaciones seguras.
II.- Estado de aplicación en España
Como hemos mencionado, se suponía que los Estados miembros debían haber convertido la Directiva NIS 2 en ley nacional antes del 17 de octubre de 2024, pero en este momento España aún no ha completado el proceso.
El 14 de enero de 2025, el Consejo de Ministros aprobó el anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad.
El anteproyecto precisa que las entidades públicas o privadas afectadas por esta norma sean aquellas que tengan su residencia fiscal en España o, que, teniendo su residencia en otro Estado de la Unión Europea, ofrezcan sus servicios o desarrollen su actividad en España.
Se introduce la figura del responsable de seguridad de la información como persona u órgano designado por las entidades, encargado de coordinar y gestionar la seguridad. En el caso de entidades esenciales, este responsable deberá ser personal acreditado.
El anteproyecto, por lo que al régimen de gobernanza se refiere, introduce la Estrategia Nacional de Ciberseguridad, y crea el Centro Nacional de Ciberseguridad, órgano de contacto único con la Unión Europea adscrito a la Secretaría General de Presidencia del Gobierno, que se encargará de la dirección, impulso y coordinación en la materia, garantizará la cooperación intersectorial y transfronteriza con otras autoridades competentes, y será la autoridad de gestión de las crisis de ciberseguridad.
Además, se prevé la creación de equipos de respuesta a incidentes que supervisarán y analizarán las ciberamenazas, vulnerabilidades e incidentes, prestando asistencia a las entidades afectadas cuando sea necesario.
El anteproyecto será remitido al Parlamento para su examen. Los operadores sujetos a la Directiva NIS2 y esta ley deberán seguir la situación legislativa en España y realizar los preparativos necesarios.
Satoshi Minami
Vilá Abogados
Para más información, contacte con:
22 de enero de 2025
