Nos encontramos a las puertas de una nueva era en la regulación de la ciberseguridad en España.
A mediados de enero se publicó el Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad, cuyo objetivo es adaptar el marco jurídico español a la Directiva (UE) 2022/2555, conocida como NIS2.
Desde su publicación hace más de dos años, esta Directiva ha sido objeto de intensos debates y análisis en numerosos foros, conferencias y publicaciones.
Sin embargo, al tratarse de una Directiva, sus disposiciones carecían de aplicación directa para los ciudadanos, estableciéndose únicamente como estándares mínimos dirigidos a los Estados que, además, podían introducir ciertas adaptaciones en sus legislaciones locales.
Con la inminente entrada en vigor de la normativa española que implementará la NIS2 (a la que, para simplificar, llamaremos ‘Ley NIS2’), tendremos ya marco normativo completo y vinculante.
Con la inminente entrada en vigor de la normativa española que implementará la NIS2, tendremos ya marco normativo completo y vinculante
Ello obliga a alinear nuestras prácticas y medidas de ciberseguridad con los nuevos requisitos para así y evitar sanciones y otras posibles consecuencias negativas.
Pero ¿cómo nos alineamos con la nueva Ley NIS2? Aunque, como suele decirse ‘cada maestrillo tiene su librillo’, nosotros creemos que lo más eficiente es adoptar un enfoque basado en tres fases:
Índice de temas
Fase 1: Ser o no ser… ¿Me aplica la Ley NIS2?:
La implementación de la Ley NIS2 no afecta a todas las industrias.
Incluso aquellas afectadas no lo son de manera uniforme ya que su aplicación varía según se trate de entidades clasificadas como ‘esenciales’ o ‘importantes’.
Por ello, el primer paso consiste en determinar si una organización se encuentra sujeta a dicha normativa y, en caso afirmativo, evaluar el grado de su aplicación.
Esta tarea puede resultar compleja.
Aunque el Anteproyecto de Ley NIS2 incluye un listado de sectores afectados, cada uno de ellos se acompaña de referencias a normativas específicas que concretan el ámbito de aplicación
Gonzalo F. Gállego, Socio Hogan Lovells
Aunque el Anteproyecto de Ley NIS2 incluye un listado de sectores afectados -como electricidad, banca, gestión de aguas residuales, etc.-, cada uno de ellos se acompaña de referencias a normativas específicas que concretan el ámbito de aplicación.
Esto implica que una entidad que, en un primer análisis, parecía encuadrarse dentro de los obligados, podría quedar exenta tras una revisión más detallada de las definiciones normativas, y viceversa.
Por ejemplo, en el caso de las ’empresas eléctricas’, únicamente aquellas definidas en el artículo 2, punto 57, de la Directiva (UE) 2019/944 -y que desempeñen la función de ‘suministro’ según lo estipulado en el artículo 2, punto 12, de la misma- estarían sujetas a la Ley NIS2.
Aunque, como vemos, la determinación precisa del impacto de la Ley NIS2 en cada actividad no es algo inmediata, un análisis riguroso nos permitirá identificarlo con claridad, abriendo así la puerta para la siguiente fase de la adaptación y cumplimiento.
Fase 2: Como no reinventar la rueda – Gap analysis y Plan de Acciones:
Confirmada la aplicación de la Ley NIS2, es momento de iniciar el alineamiento de nuestras políticas de seguridad con la nueva normativa.
En este momento conviene no precipitarse; como bien expresaba Abraham Lincoln, dedicar tiempo a afilar el hacha antes de cortar el árbol es fundamental para garantizar el éxito.
La Ley NIS2 impone una serie de requisitos en materia de ciberseguridad.
La mayoría de las empresas afectadas ya disponen de políticas de seguridad, e incluso algunas están sometidas a la normativa NIS anterior a la NIS2.
Aunque es probable que dichos protocolos no se ajusten completamente a los nuevos requerimientos, resulta esencial aprovechar lo ya implementado.
Esto se justifica, por un lado, por la eficiencia en términos de tiempo, esfuerzo y costes, y, por otro, por la necesidad de que la transición a la Ley NIS2 sea lo menos disruptiva posible respecto al estado actual.
Existe la necesidad de que la transición a la Ley NIS2 sea lo menos disruptiva posible respecto al estado actual
En organizaciones con políticas consolidadas -especialmente aquellas implantadas a nivel grupo- resulta recomendable introducir cambios mínimos.
Alterar sistemas bien establecidos, incluso con el objetivo de mejorarlos, puede incrementar el riesgo de errores humanos y, en consecuencia, generar incidentes de seguridad.
En definitiva, debemos evitar ‘reinventar la rueda’ y modificar todo lo que sea necesario, pero únicamente aquello que lo sea.
A identificar lo que debemos modificar se dedica la primera etapa de esta Fase 2.
Para ello, se debe realizar un gap analysis que contraste las políticas de seguridad existentes con los requisitos estipulados en la Ley NIS2, identificando aquellas áreas en las que el cumplimiento resulta insuficiente.
Una vez detectadas las carencias, debe elaborarse un Plan de Acciones orientado a subsanar o completar el ‘delta’ existente.
Este plan es fundamental, ya que habitualmente existen diversas alternativas para ‘cubrir los gaps’ y alcanzar el cumplimiento normativo; el reto es identificar la solución óptima y eficiente.
Este Plan de Acciones será el hilo de Ariadna que nos guiará en la siguiente y última fase del proceso de adecuación a la Ley NIS2.
Fase 3: Dejando todo listo – Implantación de la Ley NIS2
Una vez que se dispone del Plan de Acciones, el siguiente paso es su implementación.
Es una tarea que no conviene subestimar ya que puede representar un desafío considerable especialmente para aquellas entidades con políticas de seguridad menos desarrolladas.
A ello se une el que, hasta el momento, no contamos con guías o reglamentos definitivos que desarrollen en detalle los requisitos de la NIS2.
Esta situación puede generar incertidumbre sobre la forma óptima de implementar la norma.
Ante este escenario y considerando que postergar el inicio de la adecuación no es aconsejable, resulta sumamente útil recurrir a la Guía sobre el Reglamento (EU) 2024/2690, publicada por la ENISA.
Aunque este documento no abarca de forma integral todas las industrias afectadas por la Ley NIS2 ni es una guía definitiva, en la actualidad representa la mejor referencia disponible.
En lo que respecta a los requisitos de la Ley NIS2 -que deben aplicarse conforme al Plan de Acciones derivado de la Fase 2-, es destacable que estos presentan una naturaleza híbrida, combinando elementos técnicos y jurídicos.
En numerosas áreas, ambos aspectos resultan interdependientes, lo que obliga a abordarlos de manera conjunta.
En lo que respecta a los requisitos de la Ley NIS2, es destacable que estos presentan una naturaleza híbrida, combinando elementos técnicos y jurídicos
Este factor es crucial y debe reflejarse en la composición del equipo encargado de la implementación.
Aunque detallar cada uno de los múltiples requisitos excede el alcance de este artículo -lo que prácticamente requeriría la elaboración de un manual-, a modo de ilustración se pueden mencionar los siguientes elementos:
(a) Implementación de políticas de seguridad integrales
Esto incluye, entre otros aspectos, la seguridad de redes, el análisis de riesgos, la gestión de incidentes y la continuidad operativa, así como el cifrado y la autenticación.
Dichas políticas deben aplicarse de forma efectiva, lo que requiere -y es también requisito bajo la Ley NIS2- de la adopción de medidas contractuales que regulen toda la cadena de suministro, la adquisición, el desarrollo y el mantenimiento de las TIC, así como la relación con los empleados.
(b) Designación de un responsable de seguridad
Es necesario nombrar a un responsable -ya sea de forma individual o colegiada- que actúe como el ‘guardián’ del cumplimiento de las políticas de seguridad.
La Ley NIS2 dota a este perfil de un estatus específico y un régimen de independencia que debe valorarse. Su designación debe ser notificada formalmente a la autoridad competente.
(c) Gestión adecuada de incidentes de seguridad
Se requiere contar con políticas, procedimientos y recursos que permitan cumplir con los exigentes plazos de notificación establecidos en la Ley NIS2.
Esto incluye la notificación a la autoridad en 24 horas para la alerta temprana, 72 horas para la notificación preliminar y un mes para la notificación final, así como, en su caso, la comunicación a las partes afectadas.
(d) Gobernanza de la ciberseguridad
Finalmente, es fundamental implantar una cultura de ciberseguridad en la organización, que abarque la formación adecuada de todo el personal, así como la capacitación específica para los órganos de supervisión y dirección.
Bajo la Ley NIS2, estos últimos son, además, responsables solidarios con la empresa en caso de incumplimiento de la normativa. Se trata de un elemento de relevancia.
La implementación de la Ley NIS2 no solo es un mandato regulatorio, sino también una oportunidad estratégica para fortalecer la ciberseguridad
El seguimiento riguroso de estas fases permitirá adaptar la organización a la Ley NIS2 de forma eficiente, evitando consecuencias negativas que podrían materializarse tanto en sanciones económicas -que pueden alcanzar hasta 10 millones de euros o el 2% del volumen de negocios anual a nivel mundial- como en daños a la empresa, a terceros y a su reputación.
La implementación de la Ley NIS2 no solo es un mandato regulatorio, sino también una oportunidad estratégica para fortalecer la ciberseguridad y proteger los activos críticos de su organización.
No hay que esperar a que la falta de preparación se traduzca en sanciones económicas, daños reputacionales y pérdida de la confianza de clientes y socios.
Actuar ahora permitirá transformar estos desafíos en ventajas competitivas adoptando medidas proactivas que sitúen a su organización a la vanguardia en un entorno digital cada vez más exigente.
