Roberto Cuesta Calvo - Lun, 10/02/2025 - 10:23

Roberto Cuesta Calvo Profesor de los Grados en Ciencias de la Seguridad, Ingeniería Informática y el Máster en Ciberseguridad
Lun, 10/02/2025 - 10:23

Unión europea y ciberseguridadUnión Europea y ciberseguridad.

Serie: 'Seguridad a tu alcance' (LI)

El pasado 17 de enero de 2023 (tras muchos estudios, análisis, órdenes y contraordenes), se presentó el anteproyecto de ley para la transposición de la Directiva Europea NIS21 (Directiva (UE) 2022/2555) al marco normativo español. Esta ley es crucial para reforzar la ciberseguridad en sectores estratégicos de la economía y la sociedad, y plantea novedades significativas respecto a su predecesora, la Directiva NIS1. A continuación, exploramos los puntos clave de esta normativa y su conexión con el Esquema Nacional de Seguridad (ENS).

¿Qué es la Directiva NIS2 y para qué sirve?

La Directiva NIS2 tiene como objetivo garantizar un nivel común de ciberseguridad en toda la Unión Europea. Busca abordar las deficiencias de la NIS1, armonizando la normativa entre los Estados miembros y fortaleciendo la resiliencia cibernética de sectores críticos y servicios esenciales.

Entre sus propósitos destacan:

  • Protección de infraestructuras críticas y esenciales, como energía, transporte, salud e infraestructuras digitales.
  • Mejora de la cooperación transfronteriza en la UE, especialmente en la respuesta a incidentes.
  • Uniformidad en la regulación, eliminando desigualdades y asegurando una protección integral frente a ciberamenazas.

Diferencias clave entre NIS1 y NIS2

La NIS2 amplía y refuerza las disposiciones de la NIS1 en varios aspectos fundamentales:

  • Ámbito de aplicación más amplio: La NIS1 abarcaba aproximadamente 400 entidades en España, mientras que la NIS2 aumenta esta cifra de forma considerable, superando las 12.000 entidades. Esta ampliación incluye a medianas empresas y sectores adicionales como servicios en la nube, redes sociales, centros de datos y servicios de confianza.
  • Clasificación de entidades: Se identifican como esenciales o importantes según el impacto de sus actividades en la sociedad y economía.
  • Régimen sancionador mejorado: Multas más elevadas para garantizar el cumplimiento.
  • Nueva autoridad nacional de coordinación: En España, el Centro Nacional de Ciberseguridad centraliza las actividades y asegura la coherencia.
  • Requisitos de notificación de incidentes: Las entidades deben informar sobre ciberincidentes significativos en un plazo máximo de 24 horas tras su detección inicial.

Ámbito de aplicación de la NIS2 en España

El anteproyecto de ley específica de manera detallada a qué entidades se aplica, incluyendo por primera vez a una parte significativa de la Administración Pública, así como a entidades privadas en sectores estratégicos. Estas son las claves:

Administración Pública afectada

La NIS2 amplía su alcance a varias áreas del sector público, en especial:

  • Administración General del Estado (AGE): Incluye ministerios, organismos autónomos y entidades dependientes que operan servicios críticos o que están relacionadas con sectores como infraestructuras digitales, energía o transporte.
  • Administraciones de las Comunidades Autónomas: Afecta a organismos regionales que gestionan infraestructuras esenciales o servicios críticos en su ámbito competencial.
  • Entidades locales: Incluye ayuntamientos de grandes municipios y aquellos con más de 20.000 habitantes, junto con sus entidades dependientes.
  • Sector público institucional: Organismos, consorcios y empresas públicas que gestionen servicios esenciales, infraestructuras críticas o actividades estratégicas.

El ámbito incluye también a universidades y centros de investigación relacionados con sectores críticos y que participan en proyectos relevantes para la seguridad nacional o europea.

Entidades esenciales

Son aquellas cuya interrupción o fallo podría tener un impacto significativo en la sociedad, la economía o la seguridad nacional. Incluyen:

  • Sectores estratégicos como energía, transporte, salud, infraestructuras digitales y agua.
  • Prestadores de servicios de confianza, como registros de nombres de dominio y DNS.
  • Entidades críticas según la normativa de infraestructuras críticas en España.

Entidades importantes

Son aquellas que no alcanzan el nivel de criticidad de las esenciales, pero que siguen siendo relevantes para la economía y la seguridad. Ejemplos:

  • Medianas empresas en sectores de alto impacto.
  • Proveedores de servicios digitales como redes sociales, computación en la nube o plataformas de comercio electrónico.

Elementos clave del anteproyecto de ley

Formación de la alta dirección

El anteproyecto introduce la obligatoriedad de formar a la alta dirección en ciberseguridad, asegurando su conocimiento de los riesgos y las medidas necesarias para:

  • Supervisar la gobernanza de la seguridad en sus organizaciones.
  • Garantizar la implantación de medidas técnicas y organizativas.
  • Liderar la respuesta ante ciberincidentes.

Régimen sancionador

La ley incluye un régimen sancionador estricto, que clasifica las infracciones en leves, graves y muy graves. Las multas pueden alcanzar hasta el 2% del volumen de negocio global o 10 millones de euros para infracciones graves, como:

  • Incumplimiento de las medidas de gestión de riesgos.
  • No notificar incidentes significativos en los plazos estipulados.
  • Falta de cooperación con las autoridades.

Nuevo órgano de coordinación: el Centro Nacional de Ciberseguridad

El Centro Nacional de Ciberseguridad será la autoridad única en España para:

  • Coordinar la respuesta a ciberincidentes a nivel nacional y europeo.
  • Garantizar la cooperación entre sectores y con organismos internacionales como ENISA.
  • Supervisar el cumplimiento de la normativa NIS2 y establecer directrices para las entidades afectadas.

Relación con el Esquema Nacional de Seguridad (ENS)

El ENS y la NIS2 están estrechamente relacionados. Mientras el ENS regula la seguridad de la información en el sector público y sus proveedores, la NIS2 amplía estas obligaciones al sector privado crítico. Ambos marcos comparten principios de:

Gestión de riesgos mediante perfiles específicos adaptados a cada sector.

Protección integral de las infraestructuras tecnológicas.

Cooperación público-privada para fortalecer la resiliencia frente a amenazas.

La implementación del ENS2 en 2022 refuerza esta sinergia, armonizando los estándares de seguridad y asegurando una transición fluida hacia las exigencias de la NIS2.

Conclusión

La transposición de la NIS2 supone un avance significativo en la ciberseguridad de España. Este nuevo marco obliga a entidades esenciales e importantes, incluidas partes clave de la Administración Pública, a adoptar medidas rigurosas para proteger sus redes y sistemas, además de fomentar una cultura de seguridad en la alta dirección. Con un régimen sancionador más estricto, un ámbito de aplicación ampliado y un órgano único de coordinación, España se alinea con los estándares europeos para enfrentar las crecientes ciberamenazas.

Para los profesionales de informática y ciencias de la seguridad, este nuevo panorama normativo plantea retos y oportunidades: desde la capacitación técnica y organizativa hasta la cooperación intersectorial. Con la implementación de la NIS2 y su conexión con el ENS, el futuro de la ciberseguridad en España se fortalece, protegiendo los activos más críticos de la sociedad.

Nota:

[1] El nombre NIS2 se refiere a la segunda iteración de la Directiva NIS, que es el acrónimo en inglés de "Network and Information Systems" ("Redes y Sistemas de Información"). La Directiva NIS original, conocida formalmente como la Directiva (UE) 2016/1148, fue adoptada en 2016 y se centró en garantizar un nivel común de ciberseguridad en toda la Unión Europea.

Esta NIS2, formalmente llamada Directiva (UE) 2022/2555, es una actualización y ampliación de la NIS1, donde el objetivo principal es superar las deficiencias y limitaciones identificadas en la implementación de la NIS1, así como adaptarse al panorama de ciberamenazas que ha evolucionado significativamente en los últimos años.

Editor: Universidad Isabel I

ISSN 2697-288X

Burgos, España

Añadir nuevo comentario

La Universidad Isabel I tratará la información que nos facilite con el fin de publicar su comentario como respuesta a esta entrada de su blog, así como para mantenerlo informado de nuestra actividad. Más información sobre este tratamiento y sus derechos en nuestra política de privacidad.