Se aprueba Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad: NIS2 y la Ciberseguridad
El 14 de enero de 2025, el Consejo de Ministros de España aprobó el anteproyecto de la Ley de Coordinación y Gobernanza de la Ciberseguridad, una iniciativa conjunta de los ministerios del Interior, Defensa y para la Transformación Digital y de la Función Pública. Esta legislación tiene como objetivo reforzar la protección de las redes y sistemas de información esenciales para el funcionamiento de la sociedad y la economía españolas, ciberseguridad, en respuesta a las crecientes ciberamenazas que afectan a nivel global.
La ley transpone al ordenamiento jurídico nacional la Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo, conocida como NIS2, que establece medidas para garantizar un elevado nivel común de ciberseguridad en toda la Unión Europea. Entre sus disposiciones, se especifica que las entidades públicas o privadas afectadas por esta normativa son aquellas que tengan su residencia fiscal en España o que, residiendo en otro Estado miembro de la UE, ofrezcan servicios o desarrollen actividades en el país. Estas entidades deben pertenecer a sectores considerados de alta criticidad, como energía, transporte, banca y mercados financieros, sector sanitario, agua, infraestructuras digitales y servicios tecnológicos, entidades de la administración pública e industria nuclear. Además, se incluyen otros sectores de menor criticidad, como servicios postales y de mensajería, gestión de residuos, fabricación y distribución de sustancias químicas, producción y distribución de alimentos, proveedores de servicios digitales, investigación científica y seguridad privada.
La ciberseguridad es más crítica que nunca, dada la creciente dependencia de las redes y sistemas de información en la sociedad actual. En este contexto, el «Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad«, que transpone la Directiva NIS2 de la Unión Europea, establece un marco legal crucial para garantizar un alto nivel de ciberseguridad en España. La Directiva NIS2 (Network and Information Systems Directive) es una actualización de la Directiva NIS original, diseñada para abordar los desafíos emergentes de ciberseguridad, especialmente en un panorama digital cada vez más interconectado y vulnerable.
Principales Elementos de la Ley de Ciberseguridad
El «Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad» introduce una serie de medidas para mejorar la resiliencia cibernética en sectores esenciales, como el energético, sanitario y de infraestructuras digitales, garantizando que las entidades que operan en estos ámbitos gestionen adecuadamente los riesgos asociados a la ciberseguridad.
-
Gobernanza Nacional y la Estrategia Nacional de Ciberseguridad
Uno de los aspectos más destacados de la ley es la creación del Centro Nacional de Ciberseguridad (CNC), que se erige como la autoridad nacional encargada de coordinar todas las actividades de ciberseguridad en España. Esta institución tiene un rol central en la gestión de crisis y en la cooperación tanto nacional como internacional. La ley también establece la necesidad de una Estrategia Nacional de Ciberseguridad, que fija las prioridades y objetivos a seguir, asegurando que los sectores estratégicos estén protegidos de las ciberamenazas.
-
Medidas para la Gestión de Riesgos y Notificación de Incidentes
Las entidades esenciales e importantes, como las que operan en sectores críticos (por ejemplo, telecomunicaciones, salud, transporte), deben implementar medidas específicas para la gestión de riesgos cibernéticos. Además, la ley establece la obligación de notificar los incidentes de ciberseguridad significativos. Para facilitar este proceso, se creará una Plataforma Nacional de Notificación y Seguimiento de Ciberincidentes, que será una herramienta clave para el intercambio de información técnica sobre incidentes cibernéticos y la colaboración entre entidades afectadas.
-
Supervisión, Cumplimiento y Régimen Sancionador
El cumplimiento de las nuevas normativas estará supervisado por autoridades de control en cada sector. Estas autoridades serán responsables de asegurar que las empresas y entidades cumplan con las obligaciones de seguridad establecidas por la ley. Las entidades que no cumplan con estas normativas podrán enfrentarse a sanciones, cuya gravedad variará según la infracción cometida. El régimen sancionador incluye infracciones graves, como la no notificación de incidentes significativos o la falta de medidas de protección en sectores críticos.
-
Cooperación Nacional e Internacional
La ley también refuerza la cooperación internacional, especialmente a nivel europeo, para mejorar la respuesta ante incidentes transfronterizos. Además, se establecen mecanismos de cooperación y coordinación entre los distintos actores nacionales e internacionales, garantizando una respuesta rápida y eficaz frente a las ciberamenazas globales.
Implicaciones de NIS2 para las Empresas
La implementación de la Directiva NIS2 tiene implicaciones significativas para las empresas, especialmente aquellas que operan en sectores esenciales o en infraestructuras críticas. La ley impone a estas organizaciones la obligación de adoptar medidas para gestionar los riesgos cibernéticos, incluyendo la designación de responsables de seguridad, la implementación de medidas de protección técnicas y organizativas, y la notificación de incidentes graves a las autoridades competentes.
Es fundamental que las empresas, especialmente las medianas y grandes, comprendan las implicaciones de NIS2 y cómo afecta su modelo de negocio. La ley también establece que las empresas deben realizar una evaluación de riesgos y estar preparadas para responder ante incidentes de ciberseguridad de manera rápida y eficiente.
BCNSoluciona, especializada en ciberseguridad, juega un papel crucial en este contexto al ofrecer servicios que permiten a las empresas cumplir con las exigencias de la ley NIS2. Uno de los servicios clave que ofrece BCNSoluciona es la gestión de riesgos de ciberseguridad, que incluye la implementación de medidas de protección específicas para las empresas de sectores críticos. Esto es esencial para garantizar que las organizaciones no solo cumplan con las nuevas regulaciones, sino que también fortalezcan su resiliencia ante incidentes de seguridad.
Además, BCNSoluciona facilita la evaluación de riesgos y auditoría de seguridad, servicios imprescindibles para las entidades que deben cumplir con las nuevas normativas. Gracias a su experiencia en la realización de pruebas de penetración y auditorías de seguridad, la empresa ayuda a identificar vulnerabilidades y garantizar que las medidas de protección sean eficaces.
En términos de gestión de incidentes, BCNSoluciona también ofrece servicios de respuesta ante incidentes, permitiendo que las empresas detecten, mitiguen y gestionen los ciberincidentes de manera rápida, minimizando el impacto de los mismos. Este tipo de servicios será clave para cumplir con las obligaciones de notificación y para manejar cualquier crisis de ciberseguridad que pueda surgir.
Por último, BCNSoluciona, con su experiencia en la implementación de ISO 27001, ayuda a las empresas a obtener certificaciones de seguridad, garantizando que sus sistemas de gestión de seguridad de la información estén alineados con los requisitos internacionales y las normativas europeas, como la Directiva NIS2.
Conclusión
La nueva legislación sobre ciberseguridad, que incluye la transposición de NIS2, representa un desafío significativo pero necesario para las empresas españolas. Las organizaciones deben adaptar sus políticas y sistemas de seguridad a los nuevos estándares para protegerse frente a las ciberamenazas. Con los servicios de BCNSoluciona, las empresas pueden cumplir con las exigencias de esta ley, garantizando un entorno más seguro y resiliente frente a los riesgos cibernéticos.
Solicita el Kit Consulting en Ciberseguridad para implementar el NIS2 Kit consulting Ciberseguridad
Fuentes:
Anteproyecto de Ley NIS2
