La Unión Europea, dentro de su habitual vorágine legislativa, ha publicado la Directiva relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión (2022/2555, conocida como NIS2), que viene a sustituir a la anterior Directiva NIS de 2016. Entró en vigor en octubre de 2024, adaptándose a la creciente sofisticación y frecuencia de los ciberataques. Su propósito principal es reforzar la resiliencia cibernética y la capacidad de respuesta de las organizaciones que sostienen servicios esenciales para la sociedad y la economía, reduciendo los riesgos de interrupciones o daños en infraestructuras críticas.
La NIS2 impone medidas obligatorias a sectores clave como energía, transporte, salud, agua, servicios financieros y tecnología, pero no todas las empresas están incluidas. Solo medianas empresas, con entre 50 y 250 empleados y una facturación de 10 a 50 millones de euros, y grandes organizaciones, con más de 250 empleados y facturación superior a 50 millones de euros, están automáticamente sujetas. Micro y pequeñas empresas, en general, quedan exentas, salvo casos excepcionales.
Las medidas impuestas por la NIS 2 abarcan la gestión de riesgos, lo que incluye políticas de ciberseguridad, protección de la cadena de suministro y planes de recuperación ante incidentes; la notificación de incidentes en plazos estrictos, que obliga a las empresas a informar a las autoridades competentes dentro plazos bastante reducidos; y la colaboración activa con redes de ciberseguridad y autoridades competentes.
Marco sancionador severo
El marco sancionador de la NIS 2 es especialmente severo. Para las entidades esenciales, las multas pueden ascender a 10 millones de euros o el 2% de su facturación anual, mientras que para las importantes estas sanciones alcanzan 7 millones de euros o el 1,4% de la facturación anual.
El plazo para la transposición de la NIS 2 venció el 17 de octubre de 2024, pero en España aún no se ha publicado el borrador legislativo necesario para incorporarla al ordenamiento jurídico, lo que genera incertidumbre para las entidades obligadas, que deben cumplir los principios de la directiva por ser directamente aplicable desde el 18 de octubre de 2024, mientras permanecen vigentes normativas nacionales anteriores, como los Reales Decretos de 2018 y 2021.
La transposición legislativa es el proceso mediante el cual los Estados miembros adaptan los principios de la directiva a su legislación nacional, respetando los estándares mínimos fijados por la Unión Europea. Esta adaptación puede incluir requisitos más estrictos, pero nunca medidas que contradigan los objetivos de la directiva. Mientras tanto, en ausencia de transposición, las disposiciones claras y precisas de la directiva son directamente exigibles, permitiendo a las empresas y afectados reclamar su cumplimiento ante tribunales nacionales.
Se espera que el proceso legislativo en España avance en los próximos meses, integrando las disposiciones de la NIS2 en un marco que fortalezca la colaboración público-privada, facilite la supervisión por parte de las autoridades y garantice una respuesta eficaz ante incidentes cibernéticos.
En este contexto, las empresas deben revisar sus sistemas y procesos para cumplir con las exigencias de la directiva, anticipándose a las posibles sanciones y asegurando su resiliencia frente a los riesgos cibernéticos. La preparación proactiva no solo es una obligación normativa, sino también una oportunidad estratégica para reforzar la seguridad y sostenibilidad operativa. Sin embargo, el desafío principal radica en que la futura legislación española podría introducir cambios adicionales, lo que requerirá nuevas adaptaciones y esfuerzos adicionales por parte de las entidades obligadas.
En este escenario, la colaboración entre expertos en ciberseguridad, profesionales de la privacidad y delegados de protección de datos es fundamental para asesorar y acompañar a las organizaciones en la comprensión y cumplimiento de la Directiva NIS2. Estos perfiles son esenciales no solo para implementar las medidas necesarias y garantizar la protección de los datos personales, sino también para adaptarse con agilidad a los futuros cambios normativos. Su labor conjunta asegura que las empresas puedan mantenerse resilientes y competitivas en un entorno digital cada vez más complejo y exigente.
