¿Cómo afectará la nueva Ley de Coordinación y Gobernanza de la Ciberseguridad (NIS2) a mi negocio?

By Alba Huerga
16 Ene 2025

El 14 de enero de 2025 el Consejo de Ministros aprobó el anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad, un paso clave hacia la implementación de la directiva europea NIS2 en España. Esta norma es la transposición al ordenamiento nacional de la Directiva 2022/2555, popularmente conocida como NIS2, impulsada por el Parlamento Europeo y el Consejo.

El anteproyecto de Ley fue aprobado conjuntamente por el Ministerio del Interior, el Ministerio de Defensa y el Ministerio para la Transformación Digital y de la Función Pública de España,  Su objetivo principal es alinear la regulación estatal con los estándares europeos de ciberseguridad y establecer compromisos y obligaciones claros para entidades públicas y privadas, para elevar el nivel de ciberseguridad de nuestro país y reforzar la protección de las redes y sistemas de información frente a las crecientes ciberamenazas y riesgos.

La  transposición española de la NIS2 busca armonizar la regulación nacional con los estándares europeos, reforzando la protección frente a ciberamenazas.

127

Este anteproyecto de Ley introduce como principal novedad la creación del Centro Nacional de Ciberseguridad, encargado de supervisar el cumplimiento de la normativa.Se trata de un organismo que contará con el apoyo de INCIBE y otras entidades de ciberseguridad del Estado Español, y se encargará de velar por el cumplimiento de la nueva Ley de ciberseguridad.

El Centro Nacional de Ciberseguridad dirigirá, impulsará y coordinará la implementación y aplicación de la futura Ley de Coordinación y Gobernanza de la Ciberseguridad.

Además, esta nueva institución trabajará para garantizar la cooperación intersectorial y transfronteriza con otras autoridades competentes y será autoridad de gestión de crisis en caso de incidentes de entidad.

Ahora bien, además de la creación de este nuevo organismo, ¿qué novedades traerá la nueva Ley y cuáles serán las empresas afectadas?

¿Cuáles serán las empresas afectadas por la Ley de Coordinación y Gobernanza de la Ciberseguridad?

Para conocer cuáles serán las entidades afectadas por la futura Ley de Coordinación y Gobernanza de la ciberseguridad española, las empresas deben tomar como referencia la ley europea NIS2.

La Ley de Coordinación y Gobernanza de la Ciberseguridad (NIS2) afectará a todas las entidades públicas y privadas con residencia fiscal en España o que operen dentro del territorio español.

En ambos casos, las empresas u organismos afectados por la Ley son aquellos que pertenecen a sectores considerados de alta criticidad para el normal funcionamiento del país: energía, transporte, banca y mercados financieros, sanitario, agua, infraestructuras digitales y servicios tecnológicos, entidades de la administración pública e industria nuclear.

128

Además, según la página oficial del Ministerio de Interior, “la futura ley también se aplicará a servicios de menos criticidad como los servicios postales y de mensajería, la gestión de residuos, la producción, transformación y distribución de alimentos, los proveedores de servicios digitales, la investigación científica y la seguridad privada”.

¿Cuáles serán las principales obligaciones de las empresas afectadas por Ley de Coordinación y Gobernanza de la Ciberseguridad?

Aunque aún hay en el aire algunas incógnitas sobre la transposición de la Ley y si habrá algunos cambios con respecto a NIS2, se espera que las medidas sean muy similares a las de la directiva matriz (NIS2).

1. Evaluación individualizada del riesgo

Durante la rueda de prensa posterior al Consejo de Ministros, el ministro del Interior, Fernando Grande-Marlaska, recordó que la Ley obligará a las entidades afectadas a realizar una evaluación individualizada de su riesgo y a poner en marcha actuaciones para garantizar y elevar los niveles de seguridad de sus redes y sistemas de información, y prevenir el riesgo de incidentes.

2. Notificación de incidentes significativos

Además, las entidades estarán obligadas a notificar los incidentes significativos que tengan al operar o prestar servicios, tanto si son suyos como si pertenecen a proveedores externos. Asimismo, deberán comunicar a los destinatarios de sus servicios cualquier ciberamenaza que les pueda afectar y las medidas o soluciones a aplicar como respuesta.

3. Creación de la figura del Responsable de la Seguridad de la Información

En el anteproyecto se señala la necesaria creación de la figura del Responsable de la Seguridad de la Información. Este Responsable puede ser una persona o un órgano designado por las entidades, que se encargará de las funciones de punto de contacto y de coordinación técnica.

Las principales funciones y obligaciones del responsable de la seguridad de la información serán las siguientes:

  • Elaborar y someter a la aprobación de la organización la estrategia y políticas de ciberseguridad.
  • Supervisar y desarrollar la aplicación de dichas políticas y su efectividad.
  • Supervisar el cumplimiento de la normativa aplicable en materia de seguridad de las redes y sistemas de información, y gestionar los incidentes de ciberseguridad.

A priori, el anteproyecto de Ley no prohíbe que las entidades afectadas por esta normativa puedan delegar y externalizar esta función a otras empresas o expertos externos para así garantizar el correcto cumplimiento de NIS2.

¿Te gustaría conocer con más detalle qué pasos debes seguir para cumplir con NIS2 e iniciar tu camino hacia cumplimiento de la mano de expertos? Contacta con nuestro equipo especializado en compliance: [email protected]

La eterna pregunta: Hasta que no se apruebe la Ley, ¿estoy obligado a cumplir con NIS2?

En efecto. Desde el 18 de octubre de 2024, todas las empresas de la Unión Europea o extranjeras que operan en su territorio deben cumplir con las medidas establecidas por la NIS2.

Y es que no debemos olvidar que la Ley de Coordinación y Gobernanza de la Ciberseguridad española es una transposición de la normativa europea NIS2, que entró en vigor el 16 de enero de 2023, tras su publicación en el Diario Oficial de la Unión Europea.

La Ley de Coordinación y Gobernanza de la Ciberseguridad es la versión española de la NIS2

Los Estados miembros de la UE tenían hasta el 17 de octubre de 2024 para realizar la transposición de la directiva a escala nacional, y adoptar y publicar las medidas necesarias para darle el correspondiente cumplimiento.

En este caso, España activó su proceso de transposición fuera de plazo y hasta enero no ha podido presentar el primer borrador de la versión española de NIS2. Precisamente por ello el Consejo de Ministros también aprobó dar trámite administrativo de urgencia al anteproyecto, para que pueda ser aprobado por el Gobierno cuanto antes y dar de inmediato paso a su debate parlamentario.

Dado que la aprobación de la nueva Ley es inminente, resulta crucial anticiparse y comenzar cuanto antes el proceso de adaptación para el cumplimiento de NIS2.

Descubre cómo empezar a implementar NIS2 en tu organización a través de nuestro artículo o contacta con nuestro equipo para obtener asesoramiento especializado.

Los comentarios están cerrados.