FEDER
C/María Berdiales, 20, 4ª Vigo (Spain)
+34 886 251 058
info@inprosec.com
Español
English
¿Hablamos?

¿Cómo afecta la normativa NIS2 en España?

Novedades

El pasado día 14 de enero el gobierno de España anunció la aprobación del anteproyecto de la nueva ley de ciberseguridad española, cuyo nombre elegido ha sido el de “Ley de Coordinación y Gobernanza de la Ciberseguridad”.

Esta ley surge como transposición de la Directiva de Seguridad de Red e Información 2 (NIS2), aprobada por la UE en 2022, y con el objetivo de «reforzar la protección de las redes y sistemas de información, que están sometidas a graves ciberamenazas y riesgos que requieren respuestas adaptadas, coordinadas e innovadoras». Con ello, la intención es la de posicionar esta nueva ley como la normativa en términos de ciberseguridad más importante en España.

A continuación, se expondrán los puntos más importantes recogidos en el anteproyecto de la ley.

Contenidos ocultar
1 Creación del Centro Nacional de Ciberseguridad
2 Clasificación de entidades
2.1 Entidades Esenciales
2.2 Entidades Importantes
3 Creación de un catálogo de medidas necesarias para la gestión de riesgos de ciberseguridad
4 Régimen sancionador
5 Conclusiones
6 Ciberseguridad y cumplimiento normativo con InprOTech

Creación del Centro Nacional de Ciberseguridad 

Con el fin de constituir una autoridad nacional competente única en materia de ciberseguridad, se propone la creación del Centro Nacional de Ciberseguridad, que llevará a cabo funciones de dirección, coordinación y supervisión, así como de impulso de las actividades previstas por la ley. 

Por otro lado, también actuará como punto de contacto único para la cooperación transfronteriza e intersectorial, además de desempeñar funciones como autoridad nacional para la gestión de crisis en ciberseguridad y como equipo de respuesta ante incidentes de ciberseguridad a nivel nacional, coordinando la red de CSIRT (Equipos de respuesta a incidentes de ciberseguridad) nacionales de referencia: El CCN-CERT; el INCIBE-CERT y el ESPDEF-CERT.

Clasificación de entidades

La nueva ley clasifica las entidades en dos tipos, basándose en su nivel de criticidad en relación con la seguridad nacional, el mercado y otros aspectos clave de la ciberseguridad:

Entidades Esenciales

Son organizaciones cuya interrupción o fallo en los servicios podría tener un impacto significativo en la seguridad pública, el orden público, la salud pública, o causar riesgos sistémicos críticos. Dada su relevancia, están sujetas a una serie de medidas:

  • Medidas de gestión de riesgos: Implementar evaluaciones de riesgos individualizadas y adoptar medidas para garantizar la seguridad de sus sistemas.
  • Notificación de incidentes: Reportar cualquier incidente significativo a través de la Plataforma Nacional de Notificación y Seguimiento de Ciberincidentes.
  • Designación de responsables de seguridad de la información: Cada entidad debe contar con un punto de contacto encargado de la coordinación con las autoridades competentes.

Se clasifican como entidades esenciales aquellas que cumplen con los criterios de tamaño y criticidad establecidos:

  1. Grandes empresas (≥250 trabajadores y volumen de negocio anual > 50 millones de €o balance general anual > 43 millones de €).
  2. Proveedores de redes públicas de comunicaciones electrónicas o servicios de comunicaciones electrónicas si son medianas empresas (50-249 trabajadores y volumen anual de negocios o balance general anual entre 10 y 50 millones de euros).
  3. Prestadores cualificados de servicios de confianza y registros de nombres de dominio de primer nivel, así como proveedores de servicios de DNS, sin importar su tamaño.
  4. Entidades de la Administración General del Estado y Administraciones de Comunidades Autónomas.
  5. Entidades identificadas por las autoridades de control como esenciales en virtud del impacto crítico de sus servicios.
  6. Entidades críticas según la normativa aplicable.
  7. Entidades que antes del 16 de enero de 2023 ya estaban identificadas como operadores de servicios esenciales según el Real Decreto-ley 12/2018.

Entidades Importantes

Se consideran menos críticas que las esenciales, pero igualmente relevantes para garantizar un nivel de ciberseguridad adecuado en sectores específicos:

  1. Cualquier entidad de los sectores listados en los Anexos I y II de la ley que no cumpla los requisitos para ser entidad esencial.
  2. Municipios con más de 20,000 habitantes y sus entidades del sector público institucional.
  3. Entidades identificadas por las autoridades de control como importantes, basándose en la criticidad del servicio prestado.

Creación de un catálogo de medidas necesarias para la gestión de riesgos de ciberseguridad

El anteproyecto especifica una lista de requisitos de seguridad que las entidades deben implementar para garantizar la seguridad de sus sistemas y redes:

  • Respuesta a Incidentes y Gestión de Crisis: Implementar procedimientos claros y efectivos para detectar, responder y recuperarse de incidentes de ciberseguridad. Estos procedimientos deberán incluir simulacros periódicos y auditorías de ciberseguridad.
  • Tratamiento y Divulgación de Vulnerabilidades: Establecer protocolos para identificar, gestionar y notificar vulnerabilidades en los sistemas, y compartir la información obtenida con otras entidades y autoridades relevantes.
  • Pruebas de Ciberseguridad: Realizar pruebas regulares, como ejercicios de penetración, para identificar posibles puntos débiles en los sistemas.
  • Uso Eficaz del Cifrado: Adoptar soluciones de cifrado avanzadas para proteger datos sensibles en tránsito y en reposo.
  •  Protección de la Cadena de Suministro: Evaluar y garantizar la seguridad de los proveedores y socios externos, especialmente en sectores críticos como infraestructura digital, energía y salud.
  • Plataforma Nacional de Notificación y Seguimiento de Ciberincidentes: Se creará con el propósito de facilitar el intercambio de información técnica y la coordinación entre las partes interesadas. Todas las entidades reguladas están obligadas a utilizar esta plataforma para notificar incidentes significativos.

En cuanto a las medidas para la gestión de riesgos de ciberseguridad y obligaciones de notificación se contemplan las siguientes:

  • Cada entidad deberá designar un responsable de la seguridad de la información, encargado de coordinar y supervisar la implementación de las medidas recogidas anteriormente, que actuará además como enlace entre la organización y las autoridades nacionales.
  • Las entidades deben notificar cualquier incidente significativo que afecte la continuidad de sus servicios o la seguridad de la información. Estas notificaciones deberán realizarse en plazos establecidos por la ley, priorizando la rapidez para contener posibles impactos.

Las autoridades de control (como el Departamento Nacional de Ciberseguridad y los CSIRT) supervisarán la correcta implementación de estas medidas.

Régimen sancionador

El régimen sancionador propuesto para esta ley clasifica las infracciones en muy graves, graves y leves, con sus respectivas sanciones.

  • Infracciones muy graves: No implementar medidas críticas para la gestión de riesgos de ciberseguridad; omitir la notificación de un incidente significativo que afecte la continuidad de servicios esenciales; actuar con negligencia grave que derive en riesgos significativos para la seguridad nacional o la economía; no cumplir con requerimientos de las autoridades en relación con incidentes o auditorías…
  • Infracciones graves: Incumplir parcialmente las medidas de gestión de riesgos de ciberseguridad; realizar notificaciones incompletas, erróneas o fuera de los plazos establecidos; resistencia a cooperar con las autoridades competentes durante investigaciones…
  • Infracciones leves: Deficiencias menores en la implementación de medidas técnicas u organizativas; retrasos en la designación del Responsable de Seguridad de la Información o su comunicación a las autoridades…

Con respecto a las sanciones aplicables, abarcarán desde multas administrativas hasta medidas correctivas o sanciones no económicas.

  • Multas administrativas: 
    • Infracciones muy graves: Hasta 10.000.000 € o el 2% del volumen de negocios anual mundial (optando por la mayor) para entidades esenciales y hasta 7.000.000 € o el 1,4% del volumen de negocios anual mundial (optando por la mayor) para entidades importantes. *
    • Infracciones graves: se sancionarán con multas desde 100.001 € hasta 500.000 €. *
    • Infracciones leves: se sancionarán con multas desde 10.000 € hasta 100.000 €.

* Infracciones muy graves y graves podrá llevar aparejada una sanción accesoria de amonestación pública en el «Boletín Oficial del Estado».

  • Sanciones no económicas: Desde la suspensión temporal de la prestación de servicios hasta la exclusión de programas de ayudas o contratos públicos.
  • Medidas correctivas: Supervisión continua por parte de las autoridades, auditorías de seguridad obligatorias o imposición es de planes de acción para abordar deficiencias específicas.

Las infracciones cometidas por entidades del Sector Público no serán objeto de multas administrativas o sanciones no económicas, pero sí pueden ser apercibidas con medidas correctivas.

Además, cabe resaltar que no se establecen sanciones económicas a título personal.

Conclusiones

La Ley de Coordinación y Gobernanza de la Ciberseguridad , derivada de los estándares establecidos en la Directiva Europea NIS2, supone una evolución respecto a la Directiva NIS1, que, si bien marcó un hito en la regulación de la ciberseguridad, dejó áreas de mejora que ahora se abordan con un enfoque más adaptado al entorno digital en constante cambio.

En términos económicos y de aplicación práctica, se estima que esta ley supondrá un coste aproximado de 2.250 millones de euros para el tejido empresarial español, afectando directamente a casi 4.000 entidades importantes y 1.819 entidades esenciales. Además, con la creación del Centro Nacional de Ciberseguridad como autoridad única, se busca reforzar la coordinación y supervisión, mejorando la respuesta ante ciberamenazas tanto a nivel nacional como en el ámbito de la cooperación internacional. En definitiva, esta ley marca un avance crucial en la gobernanza de la ciberseguridad, fortaleciendo la protección de infraestructuras estratégicas y fomentando una cultura de seguridad digital en un contexto de creciente interdependencia tecnológica.

Ciberseguridad y cumplimiento normativo con InprOTech

Con la presentación de este nuevo anteproyecto de ley, es crucial estar preparado para los cambios que impactarán directamente en la protección de los sistemas y datos. En InprOTech, ofrecemos servicios de consultoría de ciberseguridad industrial para ayudar a tu empresa a cumplir con la nueva ley de Ley de Coordinación y Gobernanza de la Ciberseguridad y con la normativa NIS2. Si estás interesado, puedes contactar con nosotros pinchando aquí.

Además, nuestro equipo de expertos en Inprosec ofrece servicios de auditoría NIS2 para empresas de cualquier sector. Pincha aquí y te ayudaremos a asegurar el cumplimiento normativo y la protección de tus activos críticos.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Rellena este campo
Rellena este campo
Por favor, introduce una dirección de correo electrónico válida.
Tienes que aprobar los términos para continuar

Archivos

keyboard_arrow_up