Directiva NIS2 y su Transposición en España: Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad

iso 27000

Directiva NIS2 Valencia y su Transposición en España: Anteproyecto de Ley de Ciberseguridad

 

 

1. Introducción

La Directiva (UE) 2022/2555, conocida comúnmente como Directiva NIS2, supone un paso decisivo en la estrategia de la Unión Europea para reforzar la ciberseguridad de instituciones, organismos y empresas. En España, la adaptación de esta normativa se plasma en el Anteproyecto de Ley de coordinación y gobernanza de la ciberseguridad (en adelante, “el Anteproyecto”), actualmente en fase de información y audiencia pública. Dicho Anteproyecto, que cumple con la necesidad de transponer la Directiva al ordenamiento jurídico español, establece nuevas obligaciones, medidas de gestión de riesgos y un marco sancionador más estricto que su predecesora (la Directiva NIS de 2016).
Este marco busca proteger sectores estratégicos como energía, transporte, salud o infraestructuras digitales, claves para la economía y sociedad, incluyendo a Valencia y su tejido empresarial y administrativo.
A lo largo de este artículo se realiza un resumen extenso de los aspectos más relevantes de esta futura norma, con especial atención a los temas que resultan de mayor interés tanto para las administraciones como para las entidades públicas y privadas. De este modo, daremos respuesta a las cuestiones principales sobre la Directiva NIS2 Valencia y España, sus implicaciones prácticas y las novedades que introduce en el ámbito de la ciberseguridad en España.

2. Sujetos obligados según el artículo 3 (Anexos I y II)

 

El artículo 3 del Anteproyecto de Ley delimita el ámbito de aplicación de la norma, especificando los sujetos obligados a cumplir con las disposiciones. En dicha enumeración, se hace referencia a Anexo I y Anexo II, donde se establecen los sectores y tipos de servicios afectados.

  • Anexo I (Alta criticidad): Energía, transporte, banca, salud, agua, infraestructuras digitales, administración pública central y autonómica, industria nuclear, y servicios tecnológicos.
  • Anexo II (Otros Sectores): Servicios postales, gestión de residuos, industria química, producción alimentaria, proveedores de servicios digitales, investigación científica y seguridad privada.

La definición de los sujetos obligados se extiende a entidades tanto del sector público como del sector privado que estén ubicadas en territorio español o que presten servicios en este. Es importante destacar que la norma contempla un criterio de proporcionalidad, de modo que las obligaciones podrán variar en función de la dimensión y nivel de riesgo de la entidad.

3. Entidades esenciales vs. importantes: Diferencias y obligaciones

La Directiva NIS2 introduce un nuevo esquema de categorización de los operadores: se distinguen entre entidades esenciales y entidades importantes. Esta clasificación no sólo responde a criterios de sector, sino también a la relevancia de su actividad para la economía y la sociedad, el nivel de dependencia de servicios digitales, así como al impacto potencial que un incidente podría generar.

El anteproyecto clasifica las entidades en esenciales e importantes, con obligaciones diferenciadas:

3.1. Alcance de Entidades esenciales y Entidades importantes

Entidades esenciales

  • Grandes empresas en sectores del Anexo I (Se consideran grandes empresas aquellas entidades que empleen 250 o más trabajadores y tengan un volumen de negocio anual superior a 50 millones de euros o un balance general anual superior a 43 millones de euros).
  • También son considerados esenciales Entidades de la Administración General del Estado y de las Administraciones de las Comunidades Autónomas, proveedores únicos de servicios críticos, y entidades con impacto transfronterizo, entre otros. Suelen operar en sectores críticos o de especial sensibilidad.
  • Están sujetas a un nivel de exigencia superior en cuanto a medidas de seguridad y notificación de incidentes.
  • Deben someterse a controles y auditorías más rigurosos por parte de las autoridades competentes.

Entidades importantes

  • Medianas empresas en sectores de los Anexos I y II, o aquellas con menor impacto sistémico (Se consideran medianas empresas aquellas entidades que empleen 50 o más trabajadores y tengan un volumen de negocios anual o un balance general anual que supera los 10 millones de euros).
  • Pertenecen a sectores relevantes, pero con un nivel de criticidad algo menor.
  • Se les aplican las mismas medidas de seguridad de base, pero con requisitos algo más flexibles y un régimen de controles menos intensivo (aunque siguen estando obligadas a cumplir con los principios de la norma).
3.2. Obligaciones comunes

Ambas categorías de entidades (esenciales e importantes) comparten las siguientes obligaciones:

a) Gobernanza y responsabilidad de los órganos de dirección:

  • Los órganos de dirección son responsables de aplicar las medidas de gestión de riesgos de ciberseguridad, supervisar su implementación y asumir la responsabilidad por incumplimientos (Artículo 14.1).
  • Deben recibir formación periódica en ciberseguridad para detectar riesgos y evaluar prácticas de gestión (Artículo 14.2).

b) Medidas generales de gestión de riesgos:

  • Deben implementar medidas técnicas, operativas y organizativas adecuadas y proporcionadas, basadas en el Esquema Nacional de Seguridad y normas internacionales (Artículo 15.1 y 15.2).
  • Estas medidas incluyen políticas de seguridad, gestión de incidentes, continuidad de actividades, seguridad de la cadena de suministro, criptografía, autenticación multifactor, y formación en ciberseguridad (Artículo 15.2).

c) Responsable de la seguridad de la información:

  • Ambas deben designar un responsable de la seguridad de la información, que actuará como punto de contacto con las autoridades de control y los CSIRT nacionales (Artículo 16.1).
  • Deben comunicar la designación del responsable a las autoridades de control en un plazo de tres meses (Artículo 16.2).

d) Gestión de incidentes y notificaciones:

  • Deben gestionar y resolver incidentes de seguridad que afecten a sus redes y sistemas (Artículo 17.1).
  • Deben notificar incidentes significativos a las autoridades de control a través de los CSIRT nacionales, con plazos específicos (Artículo 18.1).
  • Deben informar a los usuarios afectados sobre incidentes significativos y medidas de respuesta (Artículo 18.5).

e) Cumplimiento demostrable:

  • Ambas deben demostrar el cumplimiento de las obligaciones, aunque el mecanismo varía (certificación para esenciales y autoevaluación para importantes) (Artículo 15.4).

f) Uso de la Plataforma Nacional de Notificación y Seguimiento de Ciberincidentes:

  • Ambas deben utilizar esta plataforma para notificar incidentes y gestionar comunicaciones con las autoridades (Artículo 19).
3.3. Obligaciones diferenciadas entre las Entidades esenciales y las Entidades importantes

a) Certificación de cumplimiento:

  • Entidades esenciales: Deben obtener y mantener una certificación de conformidad acreditada para demostrar el cumplimiento de las medidas de gestión de riesgos (Artículo 15.4).
  • Entidades importantes: Pueden optar entre la certificación o realizar una autoevaluación de su postura de seguridad (Artículo 15.4).

b) Responsable de la seguridad de la información:

  • Entidades esenciales: El responsable de la seguridad de la información, su representante y su sustituto deben ser personal acreditado por el Ministerio del Interior (Artículo 16.3).
  • Entidades esenciales: El responsable de la seguridad deberá contar con conocimientos especializados y experiencia en materia de ciberseguridad.
  • Entidades importantes: No están obligadas a designar personal acreditado, aunque deben cumplir con los requisitos técnicos y de formación necesarios.

c) Recursos y capacidades:

  • Entidades esenciales: Deben garantizar que el responsable de la seguridad de la información cuente con recursos adecuados, conocimientos especializados y una posición organizativa que facilite su independencia (Artículo 16.4).
  • Entidades importantes: Aunque deben designar un responsable, no están sujetas a requisitos tan estrictos en cuanto a recursos y posición organizativa.
3.4. Medidas de supervisión y auditoria impuestas por las autoridades de control

a) Entidades esenciales:

  • Supervisión permanente (ex ante y ex post): Las autoridades de control pueden efectuar inspecciones, auditorías y controles de forma preventiva, periódica o en cualquier momento, incluso sin indicios previos de incumplimiento.
  • Medidas de ejecución y supervisión más intensas: Se recalca un carácter más estricto y amplio de las facultades de la autoridad de control, que puede llegar a imponer sanciones y otras medidas de manera directa, incluyendo la suspensión temporal de certificaciones o la petición de suspensión de un directivo, entre otras.
  • Designación de un responsable de supervisión: Posibilidad de que la autoridad de control nombre un responsable para vigilar el cumplimiento de la entidad en un periodo determinado.
  • Control de directivos: Posible suspensión o inhabilitación temporal.
  • Designación de responsable de supervisión

b) Entidades Importantes

  • Supervisión a posteriori: La actuación de la autoridad de control se inicia cuando existan evidencias, indicios o información de un posible incumplimiento.
  • Medidas de ejecución y supervisión proporcionales pero menos intensas que en el caso de las entidades esenciales: No se contemplan, por ejemplo, la suspensión temporal de directivos o de certificaciones dentro del texto del artículo 32.
  • No se prevé la designación de un responsable de supervisión por parte de la autoridad de control.

Conclusión: Las entidades esenciales están sujetas a una supervisión más proactiva e intensa, mientras que en las entidades importantes prima la supervisión reactiva (a posteriori) ante la detección de indicios de incumplimiento.

c) Obligaciones comunes en materia de supervisión y ejecución:

  • Inspecciones “in situ” y supervisión a distancia.
  • Auditorías de seguridad (periódicas y específicas).
  • Análisis de seguridad.
  • Solicitudes de información y acceso a datos: pueden requerir políticas de ciberseguridad, documentación, evidencias de implementación de medidas, registros de auditorías, etc.
  • Cooperación con otras autoridades.

4. Gobernanza en la Directiva NIS2: Responsabilidades y Formación

El Artículo 14 del anteproyecto de ley establece el marco de gobernanza para las entidades esenciales e importantes, enfocándose en dos aspectos clave: la responsabilidad de los órganos de dirección y la formación en ciberseguridad. A continuación, se detallan los puntos más relevantes:

4.1. Responsabilidad de los órganos de dirección

Los órganos de dirección de las entidades esenciales e importantes tienen un papel central en la implementación y supervisión de las medidas de gestión de riesgos de ciberseguridad. Sus responsabilidades incluyen:

  • Aplicación de medidas: Deben garantizar que las medidas de ciberseguridad establecidas en la ley se implementen de manera efectiva dentro de la entidad.
  • Supervisión: Deben supervisar continuamente la correcta implantación de estas medidas, asegurándose de que se ajusten a los requisitos legales y técnicos.
  • Responsabilidad por incumplimiento: En caso de que no se cumplan las obligaciones, los órganos de dirección asumirán la responsabilidad correspondiente. Esto incluye posibles sanciones o consecuencias legales, sin perjuicio de las normas específicas aplicables a la administración pública y sus empleados.

Este enfoque refuerza la rendición de cuentas en la ciberseguridad, asegurando que los máximos responsables de las entidades estén directamente involucrados en la protección de sus redes y sistemas.

4.2. Formación en ciberseguridad

La formación es un pilar fundamental para garantizar una gestión efectiva de los riesgos de ciberseguridad. El artículo establece dos niveles de formación:

  • Formación para los órganos de dirección:
    o Los miembros de los órganos de dirección deben recibir formación periódica y adecuada en ciberseguridad.
    o Esta formación tiene como objetivo dotarles de los conocimientos y destrezas necesarios para:
    – Detectar riesgos de ciberseguridad.
    – Evaluar las prácticas de gestión de riesgos implementadas.
    –  Comprender el impacto de estos riesgos en los servicios proporcionados por la entidad.
  • Formación para los empleados:
    o Los órganos de dirección también deben organizar formaciones periódicas para los empleados de la entidad.
    o Estas formaciones buscan asegurar que todo el personal esté capacitado para identificar y gestionar riesgos de ciberseguridad, contribuyendo así a una cultura de seguridad en toda la organización
4.3. Implicaciones de la gobernanza en ciberseguridad

La gobernanza establecida en el Artículo 14 tiene varias implicaciones clave:
a) Cultura de seguridad: Al involucrar a los órganos de dirección y capacitar a los empleados, se fomenta una cultura de seguridad que permea todos los niveles de la organización.
b) Prevención proactiva: La formación periódica permite a las entidades anticiparse a posibles amenazas y responder de manera efectiva a incidentes.
c) Cumplimiento normativo: La responsabilidad directa de los órganos de dirección asegura que las entidades cumplan con las obligaciones legales, evitando sanciones y protegiendo su reputación.
d) Adaptabilidad: La formación continua garantiza que las entidades estén al día con las últimas tendencias y amenazas en ciberseguridad, adaptándose a un entorno digital en constante evolución.

5. El Responsable de Seguridad de la Información

Las entidades esenciales e importantes deberán designar a un Responsable de la Seguridad de la Información (RSI), cuya función principal será la coordinación técnica y el enlace con las autoridades de control y los CSIRT nacionales de referencia. Esta figura podrá ser asumida por una persona física, una unidad dentro de la organización o un órgano colegiado. En los casos en que el RSI sea un órgano colegiado, se deberá designar una persona física como representante, así como un sustituto que asuma sus funciones en caso de ausencia, vacante o enfermedad.

5.1. Comunicación de la Designación


Las entidades esenciales e importantes deberán informar a la autoridad de control sobre la designación del Responsable de la Seguridad de la Información en un plazo máximo de tres meses desde su nombramiento. Asimismo, cualquier cambio en esta posición (nuevos nombramientos o ceses) deberá ser comunicado en un plazo de un mes desde su efectividad.

5.2. Requisitos de Acreditación para Entidades Esenciales

En el caso de las entidades esenciales, el RSI, su representante (si se trata de un órgano colegiado) y su sustituto deberán contar con una acreditación oficial expedida por el Ministerio del Interior. Además, si la entidad esencial es considerada crítica conforme a la normativa aplicable, esta obligación de acreditación se extenderá también al resto del personal encargado de labores de ciberseguridad.
Las condiciones para la obtención, mantenimiento y revocación de esta acreditación serán reguladas según lo establecido en la Ley 5/2014, de 4 de abril, de Seguridad Privada, y dentro del marco competencial de la Ley Orgánica 2/1986, de 13 de marzo, de Fuerzas y Cuerpos de Seguridad. La definición de funciones y requisitos de formación específicos será determinada por el Centro Nacional de Ciberseguridad.

5.3. Funciones del Responsable de la Seguridad de la Información

El RSI tendrá una serie de responsabilidades clave para garantizar la protección de la información y la ciberseguridad dentro de la entidad. Sus principales funciones incluyen:

a) Estrategia y Políticas de Seguridad

  • Diseñar y proponer para su aprobación la estrategia de seguridad y las políticas de gestión de riesgos de ciberseguridad, asegurando que sean técnica y organizativamente adecuadas a la normativa vigente.

b) Supervisión y Control de Seguridad

  • Garantizar la correcta implantación y cumplimiento de las políticas y procedimientos de seguridad.
  • Realizar controles periódicos para evaluar la efectividad de las medidas implementadas.

c) Cumplimiento Normativo

  • Supervisar que la entidad cumple con todas las normas aplicables en materia de seguridad de las redes y sistemas de información.

d) Formación y Buenas Prácticas

  • Actuar como referente en ciberseguridad, capacitando a la organización en buenas prácticas de seguridad, tanto en el ámbito físico como lógico.

e) Gestión de Incidentes

  • Dirigir la gestión de incidentes de ciberseguridad, conforme a lo establecido en el Artículo 17 de esta ley.
  • Informar sin dilación a las autoridades de control y a los CSIRT nacionales de referencia sobre los incidentes que puedan afectar la prestación de servicios esenciales.

f) Comunicación y Coordinación

  • Recibir, interpretar y supervisar la aplicación de las instrucciones y guías emitidas por la autoridad de control.
  • Recopilar, preparar y suministrar información y documentación a la autoridad de control y a los CSIRT nacionales.

g) Evaluación de Sistemas y Proveedores

  • Elaborar y suscribir el documento de aplicabilidad de sistemas o activos.
  • Supervisar el cumplimiento de los criterios de seguridad por parte de proveedores y empresas externas que presten servicios a la entidad.

Para el desempeño de sus funciones, el RSI podrá contar con el apoyo de servicios prestados por terceros, siempre que cumplan con los estándares de seguridad exigidos.
El Responsable de la Seguridad de la Información se convierte en una figura clave dentro de la estructura organizativa de las entidades esenciales e importantes, asumiendo el liderazgo en la gestión de riesgos de ciberseguridad.

6. Gestión de incidentes de seguridad y obligaciones de notificación.

Un pilar fundamental de la Directiva NIS2 y de su transposición en España es el fortalecimiento de las obligaciones de notificación de incidentes de seguridad y la correcta gestión de los mismos. El Anteproyecto establece:

a) Plazos de notificación

  • Las entidades deberán notificar a la autoridad competente (o al CSIRT designado) sin dilación indebida cuando tengan constancia de un incidente que afecte significativamente a la continuidad de los servicios o a la confidencialidad, integridad o disponibilidad de los datos.
  • El plazo y la forma de notificación pueden variar dependiendo de la gravedad y alcance del incidente, pero se mantiene el criterio de inmediatez y urgencia.

b) Contenido de la notificación

  • Debe incluir información suficiente para permitir a la autoridad competente valorar la situación: descripción del incidente, origen (si se conoce), sistemas afectados, alcance del impacto, medidas adoptadas, etc.

c) Colaboración con la autoridad

  • Las entidades han de cooperar activamente con las autoridades, aportando datos técnicos y actualizaciones sobre la evolución del incidente.
  • Esta cooperación se extiende también a la fase posterior a la notificación, para la evaluación de causas y la implementación de medidas preventivas.

d) Plan de respuesta y recuperación

  • El Anteproyecto subraya la necesidad de contar con planes de respuesta previamente definidos y actualizados, que permitan actuar de forma ágil ante cualquier incidente.

Estas obligaciones pretenden agilizar la detección y respuesta ante incidentes de seguridad a escala nacional, promoviendo un intercambio rápido de información entre las diferentes entidades afectadas y los órganos competentes en ciberseguridad.

7. Infracciones y sanciones (muy graves, graves y leves)

Para garantizar la efectividad de la norma, el Anteproyecto incorpora un régimen sancionador con multas y medidas administrativas que varían en función de la gravedad de la infracción. Se distinguen tres categorías principales:

a) Infracciones muy graves

  • Falta de implantación de medidas de ciberseguridad tras un incidente significativo.
  • Incumplimiento reiterado de la obligación de notificar incidentes
  • No adoptar medidas para resolver un incidente significativo

Sanciones:

  • Las infracciones muy graves se sancionarán con multa de 500.001 hasta 2.000.000 euros. No obstante, en algunas infracciones artículo 39 letras a y b las sanciones pueden ser las siguientes:
    – Multas de hasta 10.000.000 € (o hasta el 2% del volumen de negocio global de la empresa, si esta cifra es mayor, para entidades esenciales).
    –  Multas de hasta 7.000.000 € (o el 1,4% del volumen de negocio global para entidades importantes).

b) Infracciones graves

  • Falta de implantación o retraso en medidas de ciberseguridad.
  • Incumplimiento de órdenes vinculantes de la autoridad de control.
  • No designar un Responsable de Seguridad de la Información (RSI).
  • Obstrucción a la supervisión de la autoridad de control

Sanciones:

  • Multas de 100.001 € hasta 500.000 €.

c) Infracciones leves

  • Cumplimiento deficiente en la notificación de incidentes.
  • Falta de formación del personal en ciberseguridad.
  • Remisión de información incompleta o inexacta a la autoridad de control.
  • No informar a terceros afectados por una ciberamenaza.

Sanciones:

  • Multas de 10.000 € hasta 100.000 €.

Este régimen sancionador busca disuadir a los sujetos obligados de incumplir la norma y garantizar que se tomen en serio las obligaciones de ciberseguridad, evitando actos de omisión o negligencia que pongan en peligro la resiliencia del país ante ciberamenazas.

8. Conclusiones

La Directiva NIS2 y su transposición en España a través del Anteproyecto de Ley de coordinación y gobernanza de la ciberseguridad suponen un salto cualitativo en la regulación de la ciberseguridad. Entre las principales novedades y aportaciones destaca:

  • La clasificación de las entidades en esenciales e importantes, con niveles de obligación adecuados a su impacto en la sociedad y en la economía.
  • El refuerzo de la gobernanza, promoviendo la coordinación entre administraciones y con el sector privado, y otorgando mayores competencias a las autoridades responsables.
  • La exigencia de medidas de gestión de riesgos más estrictas, incluyendo la designación de un responsable de seguridad de la información y la implementación de planes de respuesta y contingencia.
  • Un régimen sancionador más robusto, con categorías de infracciones muy graves, graves y leves, que pretenden asegurar el cumplimiento y elevar el nivel de seguridad.

Para la Comunitat Valenciana, esta directiva trae consigo oportunidades y retos. Por un lado, se promueve una mayor concienciación y un fortalecimiento de la resistencia frente a ciberataques; por otro, implica un esfuerzo de adaptación y cumplimiento por parte de las entidades que hasta ahora no se encontraban tan reguladas.
En definitiva, la transposición de la Directiva NIS2 a través de este Anteproyecto de Ley perfila un escenario en el que la ciberseguridad deja de ser una opción y se convierte en un imperativo legal, estratégico y organizativo. Se espera, con ello, aumentar la confianza en el uso de servicios digitales y consolidar la resiliencia de toda la infraestructura nacional y autonómica frente a amenazas en constante evolución.

Puedes acceder a nuestros servicios de consultoría en la Directiva NIS2 en la sección de Servicios NIS2

Conoce mas Sobre la Directiva NIS2
Directiva NIS2
Errores Comunes al Implementar Marcos de Ciberseguridad

Sueca. CP 46410 València
96 203 41 21
Contactar