Seleccionar página

Boletín: Febrero 2025

Volver

Febrero 2025

Artículo de opinión -

Directiva NIS2 y sus implicaciones legales para las organizaciones

Arnau Gómez
LKS Next Legal
Directiva NIS2 y sus implicaciones legales para las organizaciones

Introducción

El aumento de las ciberamenazas, la sofisticación de los ataques, y la posibilidad que ofrecen las tecnologías más punteras a los ciberdelincuentes (como la Inteligencia Artificial), ha llevado a la Unión Europea a fortalecer su marco normativo en materia de ciberseguridad.

En este contexto, el 22 de noviembre de 2022 se aprobó formalmente la Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión, por la que se modifican el Reglamento (UE) nº 910/2014 y la Directiva (UE) 2018/1972 y por la que se deroga la Directiva (UE) 2016/1148 (en adelante, “Directiva NIS2[1]” o “NIS2”, indistintamente).

Entró en vigor el 16 de enero de 2023, obligando a los Estados Miembros a transponer la Directiva al derecho nacional con anterioridad al 17 de octubre de 2024 (en el caso de España, se ha aprobado un Anteproyecto de Ley, como más tarde se detallará).

La Directiva NIS2 busca establecer un nivel común elevado de ciberseguridad en toda la Unión Europea, a través de la protección de determinados sectores, a través de obligaciones centradas en la protección de sectores críticos y procesos estratégicos. NIS2 extiende su ámbito de aplicación respecto a la Directiva NIS anterior, para proteger un mayor número de entidades (consideradas esenciales e importantes), garantizar el correcto funcionamiento de la sociedad y para controlar también la cadena de suministros.

Entidades incluidas en el ámbito de aplicación

El ámbito de aplicación de la Directiva NIS2 se extiende, con carácter general, a medianas y grandes empresas[2], ya sean públicas o privadas, de sectores que se consideran críticos para la economía y la sociedad:

  • Sectores de alta criticidad: Energía, Transporte, Banca y sectores financieros, Sector Sanitario, Agua, Infraestructura digital, Servicios TIC de empresa a empresa, Administración Pública, Espacio.
  • Otros sectores críticos: Servicios postales y mensajería, Gestión de residuos, Mezclas químicas, Alimentos, Fabricación, Proveedores de servicios digitales, Investigación.

Asimismo, se establecen unos supuestos en los que, con independencia del tamaño de la empresa, la Directiva es aplicable.

En este sentido, NIS2 distingue entre (A) entidades esenciales y (B) entidades importantes:

1. Son entidades esenciales:

  • Empresas grandes de los sectores de alta criticidad;
  • Con independencia de su tamaño, los prestadores cualificados de servicios de confianza y registros de nombres de dominio de primer nivel y los proveedores de servicios de DNS
  • Medianas empresas proveedoras de redes públicas de comunicaciones electrónicas o de servicios de comunicaciones electrónicas disponibles para el público;
  • Con independencia de su tamaño, entidades identificadas como críticas con arreglo a la Directiva (UE) 2022/2557 relativa a la resiliencia de las entidades críticas que ha de trasponerse a la legislación nacional en las mismas fechas que la NIS2.

2. Son entidades importantes todas aquellas que, estando incluidas en los sectores críticos, no puedan considerarse entidades esenciales.

En cualquier caso, la organización debe llevar a cabo un análisis jurídico de aplicabilidad, a fin de determinar si entra dentro del ámbito de aplicación de la Directiva, y si, por tanto, debe cumplir con las obligaciones que en ella se detallan.

Principales obligaciones en virtud de la Directiva NIS2

La Directiva NIS2 obliga a las entidades incluidas en su ámbito de aplicación a adoptar medidas técnicas, operativas y organizativas adecuadas y proporcionales para gestionar los riesgos de ciberseguridad a los que puedan enfrentarse.

En este sentido, la Directiva NIS2 obliga a las entidades a integrar, como mínimo, las siguientes medidas:

  • Nombramiento de una persona responsable de la Seguridad de la Información (CISO), que cumpla con los requisitos de capacidad técnica y formación.
  • Elaboración de políticas de seguridad y análisis de riesgos de los sistemas de información: entre otros, contar con un marco de gobierno de la ciberseguridad; determinar los roles y responsabilidades en cuanto a la gestión de la ciberseguridad dentro de la organización; establecer una postura corporativa en cuanto a ciberseguridad, etc.
  • Medidas en relación con la gestión de incidentes de ciberseguridad y su notificación a la autoridad competente (pautas para la detección, notificación y respuesta; planes y protocolos, etc.)
  •  Adopción de medidas dirigidas a garantizar la continuidad de la actividad empresarial en caso de un incidente, tales como elaboración de un plan de contingencia, realización de simulacros de continuidad de negocio, etc.
  • Medidas dirigidas a garantizar y evaluar la seguridad en la cadena de suministro y en las relaciones con proveedores.
  • Prácticas básicas de ciberhigiene y formación en ciberseguridad.
  • Implantación de procedimientos que garanticen la seguridad de los RRHH.

Asimismo, la Directiva NIS2 establece que los órganos de dirección de las entidades esenciales e importantes tienen la obligación de supervisar y garantizar el cumplimiento de las medidas de gestión de riesgos de ciberseguridad.

En particular, en virtud de la Directiva NIS2, los órganos de dirección de las entidades esenciales e importantes deberán:

  • Aprobar la adecuación de las medidas de gestión de riesgos de ciberseguridad adoptadas por la entidad.
  • Supervisar la aplicación de las medidas de gestión de los riesgos.
  • Responsabilizarse del incumplimiento. En concreto, la responsabilidad por incumplimiento de la alta dirección podría tener consecuencias, incluyendo responsabilidad personal de los miembros del órgano de dirección, inhabilitaciones temporales y multas administrativas para la organización, según lo previsto en la normativa de cada Estado Miembro.
  • Formarse con el fin de adquirir suficientes conocimientos y habilidades para identificar riesgos y evaluar las prácticas de gestión de riesgos de ciberseguridad y su impacto en los servicios prestados por la entidad.
  • Ofrecer una formación similar a sus empleados de forma regular.

Transposición de NIS2 a través de la Ley de Coordinación y Gobernanza de la Ciberseguridad

En el caso de España, la Directiva NIS2 está en proceso de ser transpuesta, a través de la Ley de Coordinación y Gobernanza de la Ciberseguridad, que actualmente se encuentra en fase de Anteproyecto y que será objeto de tramitación por la vía de urgencia.

Las obligaciones establecidas por el Anteproyecto coinciden con las dispuestas por la Directiva NIS2, pero introduce algunas novedades que han de tenerse en consideración:

  • Acreditación de la persona responsable de la Seguridad de la Información

Según el Anteproyecto, en las entidades esenciales, el responsable de la seguridad de la información (CISO), así como la persona física representante en caso de ser un órgano colegiado y la persona sustituta, independientemente de los requisitos de capacidad técnica y formación, deberán ser personal acreditado por el Ministerio del Interior.

  • Cumplimiento de la Directiva NIS2 a través de la certificación en categoría alta en el ENS

Conforme al Anteproyecto el Perfil de Cumplimiento Específico del Esquema Nacional de Seguridad (en adelante, “ENS”) se configura como un mecanismo válido para acreditar el cumplimiento de las medidas de gestión de riesgos de ciberseguridad exigidas por NIS2. En particular, para aquellas entidades esenciales e importantes que estén sujetas a las disposiciones del Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad, la aplicación de dicho perfil será suficiente para demostrar la adecuación a los requisitos de ciberseguridad establecidos en la transposición de la Directiva NIS2.

Asimismo, esta posibilidad se extiende a aquellas entidades no obligadas por el ENS, siempre que opten voluntariamente por someterse a una evaluación satisfactoria conforme a su Perfil de Cumplimiento Específico (certificación en la categoría alta del ENS). De este modo, el Anteproyecto introduce un criterio de equivalencia normativa, permitiendo que un marco ya consolidado en el ordenamiento jurídico (ENS) sirva de referencia para la armonización con los estándares europeos en materia de ciberseguridad establecidos en NIS2.

  • Acreditación de cumplimiento, en función del carácter (esencial o importante) de la entidad

El Anteproyecto de la Ley de Coordinación y Gobernanza de la Ciberseguridad establece que las entidades esenciales, evidenciarán el cumplimiento mediante la obtención y mantenimiento de una certificación de conformidad acreditativa, y que las entidades importantes podrán optar entre la antedicha certificación o realizar una autoevaluación de la postura de seguridad.

En este sentido, según el texto del Anteproyecto, la norma entrará en vigor al día siguiente de su publicación en el Boletín Oficial del Estado (en adelante, “BOE”), por lo que desde ese momento resultará de aplicación.

Por lo tanto:

  • Desde la entrada en vigor de la norma, las entidades esenciales e importantes deberán notificar su condición de tal a la autoridad de control competente dentro del plazo máximo de tres meses.
  • Las entidades importantes deberán acreditar el cumplimiento de las obligaciones contenidas en la normativa a través de una autoevaluación, lo que implica realizar un análisis jurídico estructurado, en el que se justifique la manera en que se cumple con la normativa. La autoevaluación deberá abarcar aspectos técnicos (medidas de seguridad adoptadas, etc.) y legales.

En caso de las entidades esenciales, el cumplimiento deberá ser acreditado a través de una certificación de conformidad.

Conclusiones

La Directiva NIS2 representa un esfuerzo significativo para establecer un nivel común elevado de ciberseguridad en la Unión Europea, ampliando su ámbito de aplicación respecto a la Directiva NIS para incluir un mayor número de sectores y entidades esenciales e importantes.

A continuación, se resumen las tres principales ideas del artículo:

(I) Ampliación del ámbito de aplicación.

NIS2 extiende su alcance a medianas y grandes empresas, de los sectores identificados en los Anexos I y II de la Directiva, e impone obligaciones específicas para proteger sectores considerados críticos y procesos estratégicos.

(II) Obligaciones para entidades consideradas esenciales e importantes.

La Directiva impone medidas técnicas, operativas y organizativas obligatorias para gestionar los riesgos de ciberseguridad. Estos incluyen, entre otros, la designación de un responsable de seguridad de la información (CISO), la elaboración de políticas de seguridad, y la gestión de incidentes, entre otros. Además, los órganos de dirección deben supervisar y garantizar el cumplimiento de estas medidas, lo que subraya la responsabilidad de la alta dirección en la ciberseguridad.

(III) Transposición de la normativa

En el caso de España, la transposición de NIS2 a través de la Ley de Coordinación y Gobernanza de la Ciberseguridad introduce algunas especificidades a tener en consideración, como la acreditación del CISO por el Ministerio del Interior en entidades esenciales y la posibilidad de la certificación en la categoría alta del Esquema Nacional de Seguridad (ENS) para demostrar el cumplimiento de NIS2.

A pesar de que NIS2 represente un avance significativo en materia de ciberseguridad, existen determinados extremos de la norma que son cuestionables, como, por ejemplo, la exención a los órganos de dirección de las entidades esenciales e importantes del Sector Público de la responsabilidad por incumplimiento que sí aplica a los miembros de los órganos de dirección de las entidades esenciales e importantes del sector privado.

 

[1] Llamada así por sus siglas en inglés: Network and Information Security

[2]Recomendación 2003/361/CE, sobre la definición de microempresas, pequeñas y medianas empresas: Microempresa: menos de 10 personas; volumen de negocios anual o balance general anual no supera los 2 millones. Pequeña empresa: menos de 50 personas; volumen de negocios anual o balance general anual no supera los 10 millones. Mediana empresa: entre 50 y 250 personas; volumen de negocios anual no excede de 50 millones o cuyo balance general anual no excede de 43 millones Gran empresa: más de 250 personas; volumen de negocios anual o balance general anual superior a 43 millones

Diseña tu trayectoria profesional con nosotros.

Da el primer paso y pon tu talento en acción.

DESCUBRE QUÉ OFRECEMOS

Contacto

¿Te gustaría saber más sobre nuestros servicios?

CONTÁCTANOS