NIS2 en España: prepárate para nuevos requisitos de ciberseguridad

Publicado el 27 de marzo 2025

España ha presentado un anteproyecto de ley de ciberseguridad para transponer la Directiva europea NIS2

View through a man's glasses of code on a computer

Esta normativa ampliará el alcance de las entidades consideradas “esenciales” e “importantes” sujetas a regulaciones en materia de ciberseguridad, imponiendo obligaciones más estrictas en cuanto a gestión de riesgos, gobernanza y notificación de incidentes. Las empresas que operan en sectores críticos deberían evaluar cuanto antes su situación y prepararse para cumplir con estos nuevos requisitos. Ofrecemos a continuación algunas recomendaciones preliminares para anticiparse a estos cambios.

¿Quién está cubierto? Evaluación: Entidades Esenciales vs. Importantes

La versión preliminar de la Ley de Coordinación y Gobernanza de la Ciberseguridad de España –con miras a transponer la Directiva NIS2 de la UE– amplía el alcance regulatorio en comparación con su predecesor. Las empresas que operan en sectores críticos como la energía, el transporte, la salud, las finanzas y la infraestructura digital deben evaluar si se consideran instituciones “esenciales” o “importantes” para los fines de la ley. Generalmente, es probable que se incluyan las organizaciones medianas y grandes en sectores clave –aquellas con más de 50 empleados y que cumplan ciertos umbrales financieros–. Sin embargo, determinadas entidades, como los proveedores cualificados de servicios de confianza, los operadores de DNS y los registradores de dominios de nivel superior, quedarían reguladas independientemente de su tamaño. Además, incluso aquellas empresas con sede extranjera pero con un establecimiento permanente en España podrían estar sujetas a este régimen si su gestión en materia de ciberseguridad se concentra en territorio español.

Se recomienda a las empresas mapear sus operaciones en función de los criterios del anteproyecto lo antes posible. Una autoevaluación detallada ayudará a determinar la situación con antelación y a garantizar que se esté preparado para el escrutinio regulatorio.

Reforzando las Operaciones y la Organización en Ciberseguridad

Una vez determinada la situación regulatoria de la empresa, el siguiente paso es reforzar su marco de ciberseguridad. El anteproyecto exige un robusto programa de gestión de riesgos que abarque medidas técnicas, operativas y organizativas. Esto incluye:

  • Detección y respuesta a incidentes: Establecer un monitoreo en tiempo real mediante un Centro de Operaciones de Seguridad (SOC) o asociaciones con equipos externos de respuesta a incidentes (CSIRT).
  • Protección de datos y planificación de la continuidad: Implementar medidas como el cifrado, la autenticación multifactor y estrategias rigurosas de respaldo.
  • Seguridad en la cadena de suministro: Evaluar y asegurar tu red de proveedores, garantizando que se gestionen eficazmente los riesgos derivados de terceros.

Muchas organizaciones están alineando sus prácticas con estándares reconocidos como la ISO/IEC 27001 o el Esquema Nacional de Seguridad (ENS) de España. Realizar un análisis de brechas y actualizar los controles ahora no solo reduce riesgos, sino que también simplifica los procesos de cumplimiento futuros.

Se recomienda a las empresas realizar una auditoría interna de sus medidas de ciberseguridad e invertir en programas de capacitación para mantener a su personal y alta dirección actualizados respecto a las amenazas y tendencias emergentes.

Obligaciones de Registro y Plazos

Un componente clave del anteproyecto es el registro obligatorio de todas las entidades incluidas en su ámbito. El Centro Nacional de Ciberseguridad compilará un registro que requerirá que las empresas presenten información detallada –como datos de la compañía, puntos de contacto, información técnica (por ejemplo, rangos IP) y datos operativos transfronterizos– en un plazo de tres meses tras ser designadas como instituciones “esenciales” o “importantes” por dicho centro.

Para los grupos multinacionales, aún se discute si el registro se realizará a nivel de grupo o de forma individual, pero la preparación temprana es crucial. El anteproyecto establece plazos transitorios, previendo que los proveedores de servicios digitales y los operadores de infraestructuras completen su registro a principios de 2025 (lo cual, dado el estado actual del anteproyecto, probablemente se posponga).

Se recomienda a las empresas comenzar a recopilar la documentación necesaria y designar un equipo interno que supervise el proceso de registro tan pronto como la ley entre en vigor.

Gobernanza: Responsables de Seguridad, Funciones del Consejo y Formación

La gobernanza reforzada bajo la futura ley requiere que la ciberseguridad se convierta en una prioridad en el nivel directivo. La alta dirección y los miembros del consejo deben asegurar la implementación de prácticas robustas de gestión de riesgos en ciberseguridad. Toda entidad regulada deberá designar a un responsable de seguridad de la información (o CISO) que actúe como principal punto de contacto con los reguladores y coordine las medidas internas de ciberseguridad. Para las instituciones “esenciales” o “importantes”, este cargo requiere la acreditación del Ministerio del Interior. Además, la ley exige formación continua tanto para el responsable de seguridad como para los miembros del consejo, para que estén bien informados sobre las amenazas cibernéticas emergentes y los requisitos regulatorios.

Se recomienda a las empresas establecer un calendario regular de capacitación y actualizar su marco de gobernanza para integrar la supervisión en ciberseguridad en todas las decisiones estratégicas. Las empresas deben empoderar a su responsable de seguridad con una autoridad y recursos claros para liderar estas iniciativas.

Colaboración con los Reguladores: Notificación de Incidentes y Cumplimiento Transfronterizo

El nuevo marco regulatorio intensifica la interacción con las autoridades supervisoras. Las entidades reguladas deberán reportar incidentes cibernéticos significativos a través de un proceso de notificación en varias etapas:

  • Alerta temprana: Notificar a los reguladores en un plazo de 24 horas desde la detección del incidente mediante una alerta preliminar.
  • Informe detallado: Realizar un seguimiento en un plazo de 72 horas con un informe completo del incidente que incluya detalles técnicos.
  • Informe final: Presentar un informe final y detallado dentro de un mes tras la resolución del incidente.

Además, el anteproyecto establece protocolos para informar a los clientes cuando sus servicios se vean afectados y obliga a la cooperación transfronteriza en incidentes que impacten a varios Estados miembros de la UE.

Se recomienda a las empresas desarrollar y probar su plan de respuesta a incidentes para asegurar que puedan cumplir con estos estrictos plazos. Igualmente, se aconseja mantener registros completos durante los incidentes para facilitar una notificación precisa y oportuna, y establecer canales de comunicación claros con el CSIRT nacional designado y otras autoridades supervisoras.

Aplicación: Sanciones y Riesgos de Responsabilidad

El incumplimiento de la futura ley conllevaría importantes riesgos financieros y reputacionales. El marco de aplicación establece un sistema escalonado de multas:

  • Infracciones leves: Multas de hasta varios cientos de miles de euros.
  • Infracciones graves: Multas que pueden alcanzar hasta 500.000 €.
  • Infracciones muy graves: Multas que pueden escalar hasta 2 millones de euros, o incluso montos superiores para las entidades esenciales, llegando potencialmente a 10 millones de euros o a un porcentaje de la facturación global.

Más allá de las multas, los reguladores podrán imponer reprimendas públicas y órdenes correctivas, incluyendo auditorías obligatorias y, en casos extremos, restricciones comerciales hasta que se logre el cumplimiento. La alta dirección también podría enfrentarse a responsabilidad personal bajo este régimen.

Se recomienda a las empresas desarrollar un programa de cumplimiento documentado, realizar auditorías internas de manera regular y asegurar que todos los esfuerzos en ciberseguridad queden debidamente registrados. Esta preparación no solo ayuda a mitigar las multas, sino que también sirve como evidencia de la debida diligencia durante posibles investigaciones.

Comentario de Osborne Clarke

Al tomar estas medidas proactivas, las empresas no solo mitigarán el riesgo de multas sustanciales y daño reputacional, sino que también fortalecerán su postura global de ciberseguridad. En el panorama digital actual, una ciberseguridad robusta es tanto una necesidad regulatoria como una ventaja competitiva. Empieza a planificar ahora para convertir estos desafíos regulatorios en oportunidades para una mayor resiliencia y continuidad del negocio.

Compartir
Interested in hearing more from Osborne Clarke?

Register now for more insights, news and events from across Osborne Clarke

Sign up

* This article is current as of the date of its publication and does not necessarily reflect the present state of the law or relevant regulation.

Contacte con uno de nuestros expertos

Interested in hearing more from Osborne Clarke?

Register now for more insights, news and events from across Osborne Clarke

Sign up