Desde las redes eléctricas hasta los hospitales, pasando por los bancos y las telecomunicaciones, nuestra sociedad depende cada vez más de tecnologías digitales.
Esta creciente digitalización también nos expone a nuevos riesgos, como los ciberataques.
En este contexto, la seguridad digital se ha convertido en una prioridad estratégica para la Unión Europea, traduciéndose en la adopción de la Directiva NIS2, una normativa que busca fortalecer la ciberseguridad en todos los Estados miembros.
La Directiva NIS2, aprobada a finales de 2022, actualiza y amplía los objetivos de su predecesora, la Directiva NIS de 2016.
Este nuevo marco legal pretende garantizar que las infraestructuras críticas y los servicios esenciales estén mejor protegidos frente a ciberataques.
«NIS2 pretende garantizar que las infraestructuras críticas y los servicios esenciales estén mejor protegidos frente a ciberataques«
Paula Garralón, Despacho Bird & Bird
En este artículo, exploraremos el momento legal en el que se encuentra esta directiva, tanto a nivel europeo como en España, y qué significa para ciudadanos, empresas y Administraciones Públicas.
Índice de temas
El contexto de NIS2 para la ciberseguridad: una necesidad urgente
La Directiva NIS original fue un primer paso para coordinar la seguridad de las redes y los sistemas de información en Europa.
Sin embargo, los cambios tecnológicos y el aumento de los ciberataques en los últimos años dejaron claro que este marco no era suficiente.
Por ejemplo, incidentes como los ataques de ransomware a hospitales o los cortes en sistemas de transporte público han demostrado que los riesgos digitales tienen consecuencias directas para la vida cotidiana de las personas.
NIS2 surge como respuesta a estos desafíos, con un enfoque más ambicioso y actualizado. Entre sus principales novedades destacan:
- Mayor cobertura: Más sectores y empresas están ahora obligados a implementar medidas de ciberseguridad, incluyendo pequeñas y medianas organizaciones en áreas críticas.
- Reforzar la responsabilidad: Los directivos de las empresas afectadas tendrán un papel activo en garantizar el cumplimiento de la normativa.
- Multas significativas: Para asegurar el cumplimiento, se han establecido sanciones más severas que pueden alcanzar hasta el 2% de los ingresos globales anuales de una empresa.
- Mayor grado de colaboración: la Directiva promueve una mayor colaboración entre los países de la Unión Europea para hacer frente a las ciberamenazas de manera conjunta.
NIS2 en Europa: estado actual
La Directiva NIS2 entró en vigor el 16 de enero de 2023, y los Estados miembros tenían hasta el 17 de octubre de 2024 para transponerla a sus legislaciones nacionales.
En este proceso, cada país debe adaptar sus leyes internas para cumplir con los requisitos de la directiva.
La Directiva NIS2 entró en vigor el 16 de enero de 2023, y los Estados miembros tenían hasta el 17 de octubre de 2024 para transponerla a sus legislaciones nacionales
Algunos países ya han avanzado en la implementación de NIS2, desarrollando borradores legislativos y estableciendo mecanismos para identificar a las entidades afectadas.
Sin embargo, el ritmo de progreso varía en toda la UE.
Este desfase puede generar desigualdades en la aplicación de las normas, lo que subraya la necesidad de un enfoque coordinado a nivel europeo.
En España, la transposición de la Directiva NIS original se realizó a través del Real Decreto-ley 12/2018, de 7 de septiembre, que establece el marco normativo para la seguridad de las redes y sistemas de información.
Además, el Esquema Nacional de Seguridad (ENS) establece los principios y requisitos para la protección de los sistemas de información en el sector público y empresas vinculadas.
Respecto al estado de transposición de la Directiva NIS2 en España, si bien el Plan Anual Normativo de la Administración General del Estado para 2024 aprobado por el Gobierno español incluía como objetivo la aprobación de la ley por la que se establecen medidas para alcanzar un elevado nivel de ciberseguridad, a fecha de publicación del presente artículo, no se ha publicado un anteproyecto de Ley.
Los beneficios de la implementación de NIS2 son muchos, el principal, el fortalecimiento de todos los productos y servicios digitales
El último movimiento conocido en esta materia fue la consulta pública lanzada por el Ministerio del Interior en septiembre de 2023.
La falta de noticias se observa con preocupación desde los sectores afectados, y sorprende que el Ministerio proponente y encargado de la transposición no haya publicado todavía un anteproyecto de Ley que pueda ser sometido a consulta a los sectores afectados existiendo el temor de que pudiese llegar a legislar vía Real Decreto Ley esa materia.
Esperamos que la transposición al ordenamiento jurídico nacional ocurra pronto; los beneficios de la implementación de NIS2 son muchos, el principal, el fortalecimiento de todos los productos y servicios digitales, previniendo interrupciones graves que puedan afectar a los ciudadanos.
