NIS2: El nuevo anteproyecto de ley sobre gobernanza y ciberseguridad en España

En un contexto de crecientes incidentes de Seguridad y filtracions de datos criticos de las grandes empresas todas las semanas, España ha dado un paso clave con la publicación del anteproyecto de la Ley de Coordinación y Gobernanza de la Ciberseguridad. Sin embargo, este llega casi cuatro meses tarde, ya que el plazo para la transposición de la Directiva Europea NIS2 terminó el 17 de octubre de 2024, y a día de hoy solo se cuenta con un «anteproyecto de ley». Esta normativa busca alinear el marco nacional con la Directiva Europea NIS2, fortaleciendo la seguridad en los sectores críticos y esenciales para la economía y la sociedad. A continuación, exploraremos los puntos más relevantes del anteproyecto y sus implicaciones para el entorno empresarial.

Un marco robusto para una ciberseguridad integral

El anteproyecto establece un enfoque integral para garantizar un nivel común de ciberseguridad en España. Uno de sus objetivos principales es mejorar la coordinación entre los diferentes actores nacionales e internacionales, estableciendo el Centro Nacional de Ciberseguridad (CNC) como la autoridad única encargada de supervisar y gestionar las actividades de ciberseguridad en el país. Este organismo actuará como punto de contacto con la Unión Europea y coordinará con otras entidades clave como el Centro Criptológico Nacional (CCN) y el Instituto Nacional de Ciberseguridad (INCIBE).

Además, la ley introduce obligaciones específicas para las entidades esenciales e importantes, clasificadas según su impacto potencial en la seguridad nacional y la estabilidad económica. Entre estas medidas destacan la obligatoriedad de implementar sistemas robustos de gestión de riesgos, notificar incidentes de manera rápida y adoptar estrategias proactivas para prevenir ataques cibernéticos.

¿A quién afecta esta ley?

El ámbito de aplicación del anteproyecto incluye tanto a empresas públicas como privadas que operan en sectores críticos como energía, transporte, sanidad y telecomunicaciones. Las entidades esenciales, definidas como aquellas con un gran impacto potencial en la seguridad y estabilidad del país, enfrentarán requisitos más estrictos que las entidades importantes.

Entre las empresas afectadas destacan:

  • Proveedores de servicios de infraestructuras digitales.
  • Operadores de redes de telecomunicaciones.
  • Empresas de energía, agua y transporte.
  • Instituciones financieras y grandes corporaciones.

Además, el anteproyecto también incluye a universidades y centros de investigación relacionados con sectores críticos, así como a empresas tecnológicas con incidencia en la defensa nacional.

Implicaciones clave para las empresas

La implementación de esta ley tendrá un impacto significativo en el entorno empresarial. A continuación, se detallan las principales implicaciones:

  1. Obligaciones de gestión de riesgos y notificación de incidentes.
    Las empresas tendrán que adoptar un enfoque sistemático para identificar, evaluar y mitigar los riesgos de ciberseguridad. Además, se les exigirá notificar incidentes significativos en plazos estrictos a través de la Plataforma Nacional de Notificación y Seguimiento de Ciberincidentes, garantizando una respuesta rápida y coordinada.
  2. Requisitos de certificación.
    El anteproyecto contempla la utilización de esquemas de certificación como el Perfil de Cumplimiento Específico (PCE-NIS2), alineado con el Esquema Nacional de Seguridad (ENS). Las empresas deberán demostrar que cumplen con los estándares establecidos para garantizar la protección de sus sistemas y datos.
  3. Colaboración intersectorial y transfronteriza.
    Se fomenta el intercambio de información entre sectores y países de la Unión Europea. Esto permitirá una mejor detección y respuesta ante amenazas transnacionales, pero también implicará que las empresas compartan información sensible bajo estrictos protocolos de seguridad.
  4. Mayor supervisión y sanciones.
    El incumplimiento de las obligaciones establecidas podrá derivar en sanciones económicas considerables. Las autoridades de control, bajo la dirección del CNC, realizarán auditorías periódicas para verificar el cumplimiento de las medidas de seguridad.

Beneficios a largo plazo

Aunque la adaptación a esta ley supondrá un esfuerzo para las empresas, también traerá beneficios significativos. Un enfoque más robusto en ciberseguridad no solo protege los activos críticos de las organizaciones, sino que también mejora la confianza de clientes, socios y accionistas.

Además, la colaboración con otros sectores y países de la Unión Europea posicionará a España como un referente en la gestión de riesgos de ciberseguridad, atrayendo inversiones y fortaleciendo su tejido empresarial.

Próximos pasos para las empresas

  1. Realizar un análisis de brechas:
    Identificar las áreas que necesitan adaptarse a los nuevos requisitos.
  2. Adoptar medidas proactivas:
    Implementar sistemas de gestión de riesgos, notificaciones de incidentes y certificaciones necesarias.
  3. Formación y sensibilización:
    Capacitar a los empleados para identificar y responder ante ciberamenazas.
  4. Colaborar con expertos:
    Asociarse con proveedores de servicios y consultores especializados para garantizar el cumplimiento normativo.

 Conclusión

La Ley de Coordinación y Gobernanza de la Ciberseguridad supone un cambio significativo en el panorama normativo de España. Si bien plantea retos para las empresas, también abre oportunidades para fortalecer su resiliencia, proteger sus activos y contribuir a un entorno digital más seguro. Adaptarse rápidamente no solo será una obligación legal, sino también una ventaja competitiva en un mundo cada vez más interconectado.

Publicaciones relacionadas:
Comparte este contenido:

Deja un comentario

Calendario de la Ciberseguridad /25

¡Pídelo gratis!
LIVE WEBINAR | 1/2/2024

Cómo proteger tu Active Directory de ataques Ransomware con Tenable

Accede al workshop

Servicio de avisos

Recibe las alertas más importantes