La seguridad en el ciberespacio se ha convertido en un pilar fundamental para garantizar el funcionamiento continuo y seguro de los servicios esenciales y las actividades económicas. Con este objetivo, la Directiva (UE) 2022/2555, conocida como NIS 2, establece un marco renovado para fortalecer la ciberseguridad en la Unión Europea. España, a través de la aprobación del anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad, ha adoptado esta directiva, incluyendo importantes incorporaciones para adaptarla al contexto nacional. Algunas incorporaciones a destacar del anteproyecto son:
1. Creación del Centro Nacional de Ciberseguridad
Una de las novedades más destacadas es la creación del Centro Nacional de Ciberseguridad (CNC), que actuará como la autoridad nacional competente única en la materia. Este organismo centralizará las responsabilidades de gobernanza y coordinación, mejorando la cooperación entre las autoridades sectoriales y las entidades afectadas. Además, el CNC será el punto de contacto único con las autoridades de la Unión Europea y jugará un papel clave en la gestión de crisis de ciberseguridad.
2. Clasificación de Entidades
La transposición incorpora una clasificación de entidades en esenciales e importantes, basada en su tamaño y criticidad para la seguridad nacional. Esta clasificación permite:
- Asignar medidas de seguridad específicas según el nivel de riesgo.
- Garantizar que los sectores clave, como salud, transporte, energía y digital, adopten medidas proporcionales.
Se incorporan como entidades esenciales diputaciones provinciales, cabildos y consejos insulares y municipios de gran población. Se incorporan como entidades importantes, municipios que, no siendo municipios de gran población, su población sea superior a 20.000 habitantes, y las entidades de su sector público institucional.
3. Obligaciones específicas
Las entidades esenciales e importantes deben cumplir con nuevas obligaciones, entre las que destacan:
- Gestión de riesgos de ciberseguridad: Evaluaciones periódicas de riesgos. Implementación de medidas técnicas y organizativas para prevenir, detectar y responder a incidentes.
- Notificación de incidentes: Creación de un sistema obligatorio de notificación mediante la Plataforma Nacional de Notificación y Seguimiento de Ciberincidentes.
- Designación de responsables de seguridad: Nombramiento de un responsable de la seguridad de la información en cada entidad. Será independencia respecto de los responsables de las redes y los sistemas de información. Debe ser un perfil acreditado por el Ministerio del Interior. Ejercerá las funciones de punto de contacto y coordinación técnica con las autoridades de control y con los CSIRT nacionales de referencia. También elaborará y someterá a la aprobación de la organización la estrategia y políticas de ciberseguridad; debe supervisar y desarrollar la aplicación de dichas políticas y su efectividad; así como supervisar el cumplimiento de la normativa.
- Declaración de aplicabilidad. Las medidas de seguridad se aplicarán a los activos TI que se utilicen para la prestación de sus servicios u operaciones y deberán figurar en el documento de aplicabilidad suscrito por el responsable de seguridad de la información.
- Protección específica de datos personales: Regulación explícita sobre la cesión y protección de datos personales en incidentes.
Las entidades esenciales demostratán el cumplimiento de las obligaciones mediante la obtención y mantenimiento de una certificación de conformidad acreditativa. Se usará estándares europeos para las certificaciones. Las entidades importantes mediante la certificación o realizando una autoevaluación de la postura de seguridad. Las entidades que esten dentro del ENS, tendrán perfiles específicos de la Ley en las auditoria del ENS
4. Fomento de la resiliencia en las PYMES
Aunque las PYMES no están directamente reguladas por la ley, el anteproyecto incluye disposiciones específicas para fomentar su resiliencia:
- Desarrollo de guías de ciberhigiene.
- Acceso a herramientas de ciberseguridad
5. Coordinación Nacional e Internacional
La normativa refuerza la cooperación a nivel nacional mediante:
- Redes de intercambio de información entre entidades públicas y privadas.
- Coordinación con otros países de la UE a través de la red de CSIRT y la Agencia Europea de Ciberseguridad (ENISA).
6. Régimen Sancionador
El nuevo régimen sancionador clasifica las infracciones en leves, graves y muy graves, con sanciones proporcionales al impacto del incumplimiento. Este enfoque busca garantizar que las entidades cumplan con las medidas de seguridad establecidas. Además de sanciones económicas según la clasificación de la infracción, pueden llegar a prohíbir temporalmente ejercer las funciones a cualquier persona que ejerza responsabilidades de dirección a nivel de director general o representante legal en la entidad esencial.
7. Integración con otras Normativas:
El Anteproyecto alinea las disposiciones de la Directiva NIS 2 con otras normativas nacionales y europeas, como el Esquema Nacional de Seguridad ENS (ver ¿En qué medidas coinciden la Directiva europea NIS 2 y el Esquema Nacional de Seguridad?) y el Reglamento Europeo DORA, en vigor desde 17 de enero 2025, para el sector financiero, asegurando un enfoque coherente en la protección de los sistemas críticos
Impacto que tendrá la Ley de Coordinación y Gobernanza de la Ciberseguridad
Estas medidas refuerzan la ciberresiliencia de las entidades públicas y privadas en España, garantizando una mejor preparación frente a ciberamenazas en un entorno cada vez más complejo. Además, facilitan la cooperación transfronteriza y el cumplimiento de los objetivos comunes de ciberseguridad en la Unión Europea.
La adaptación de la Directiva NIS 2 en España representa un paso significativo elevando la postura de ciberseguridad de las entidades afectadas, posicionando al país como un referente en la protección de infraestructuras digitales y servicios esenciales.