El 14 de enero de 2025, el Consejo de Ministros de España aprobó el Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad, con el objetivo de transponer al ordenamiento jurídico español la Directiva (UE) 2022/2555, conocida como NIS2. La trasposición lleva en retraso en la agenda del gobierno desde el 17 de octubre de 2024.
Esta directiva, en vigor desde el 16 de enero de 2023, busca fortalecer el marco de ciberseguridad en la Unión Europea, sustituyendo a la anterior Directiva NIS (UE) 2016/1148.
Una de las principales novedades de la NIS2 es la ampliación de su ámbito de aplicación. La normativa no solo afecta a grandes empresas, sino también a pequeñas y medianas empresas (pymes) que operan en sectores críticos.
Entre los sectores de alta criticidad se incluyen:
Sí, lo has leído bien. La Directiva NIS2 amplía significativamente el alcance de las obligaciones de ciberseguridad para los servicios digitales, incluyendo a proveedores de servicios en la nube, plataformas de computación distribuida, centros de datos, redes de entrega de contenido (CDN), servicios de confianza digital y registradores de nombres de dominio.
Además, se ven afectadas las empresas tecnológicas B2B, como desarrolladores de software empresarial, proveedores de infraestructura de Tecnología de la Información y operadores de servicios gestionados de seguridad (MSSP). También, entran en el ámbito de aplicación los marketplaces, motores de búsqueda en línea y redes sociales, ya que desempeñan un papel clave en la infraestructura digital de la Unión Europea.
Estas entidades deberán cumplir con estrictos requisitos de seguridad, gestión de riesgos y notificación de incidentes, garantizando una mayor resiliencia ante ciberamenazas.
Las entidades sujetas a la NIS2 se clasifican en dos categorías: esenciales e importantes, en función de su criticidad y del impacto potencial en la seguridad nacional y comunitaria. Estas entidades deben realizar evaluaciones individualizadas de riesgos y adoptar medidas para garantizar la seguridad de sus redes y sistemas de información.
También, se esperan obligaciones de notificación a la autoridades (y usuarios, dado el caso) en caso de incidentes y, la creación del Centro Nacional de Ciberseguridad como organismo será la autoridad nacional competente en la materia, encargada de la dirección, impulso y coordinación de todas las actividades relacionadas con la ciberseguridad.
La Directiva NIS2 introduce un régimen de sanciones más severo para garantizar el cumplimiento. Las entidades esenciales pueden enfrentarse a multas de hasta 10 millones de euros o el 2% de su volumen de negocios anual. Para las entidades importantes, las sanciones pueden alcanzar los 7 millones de euros o el 1,4% del volumen de negocios anual.
Aunque una empresa no esté directamente sujeta a la NIS2, puede verse afectada si es proveedora de una entidad que sí lo esté. En estos casos, es probable que los clientes exijan certificaciones o evaluaciones de seguridad, ya que la cadena de suministro debe cumplir con los requisitos de ciberseguridad.
De todas formas estamos pendientes de la publicación definitiva y de la publicación de una lista de empresas afectadas para comprobar la dimensión del ámbito subjetivo, tan clave en esta normativa.
Si tienes dudas sobre si tu web cumple con las normativas digitales como privacidad o cookies, en Lawwwing te hacemos una auditoría legal
