¿Cuándo se comenzará a aplicar la directiva NIS2 en España?

El 17 de octubre vence el plazo para que se transponga la directiva NIS2 en España, por lo que las empresas deben estar preparadas para adaptarse a sus disposiciones

RGPD, DORA, NIS2… La Unión Europea está construyendo un marco normativo que busca situar a la ciberseguridad en el centro de las estrategias de las empresas europeas conformando un nivel de ciberseguridad común. ¿Por qué? Los ciberataques se han convertido en una de las mayores amenazas a las que se enfrentan las compañías y sus consecuencias pueden repercutir no solo en ellas, sino también en sus clientes e, incluso, en el conjunto de la sociedad y el sistema económico. Sobre todo, cuando las empresas afectadas operan en sectores críticos.

Por eso, la UE aprobó a finales de 2022 la directiva NIS2, que supone una actualización de la norma primigenia, aprobada en 2016, para subsanar las limitaciones detectadas en su aplicación. Sin embargo, al tratarse de una directiva debe ser transpuesta por los estados de la UE a su ordenamiento interno. La norma fija que el plazo para realizar esta acción termina el 17 de octubre de 2024. Y que, por lo tanto, a partir del 18 de octubre ya se debe aplicar la directiva NIS2 en España y el resto de la UE.

¿Cuál es el problema? Que a falta de dos semanas aún no se ha transpuesto la directiva NIS2 en España y el horizonte no es nada claro en un contexto de ausencia de presupuesto generales. De hecho, España ya finalizaba 2023 en el cuarto puesto a la cola en lo que a transposición respeta, con más de 13 directivas pendientes de adaptar.

A continuación, vamos a repasar las claves de NIS2 y a arrojar luz sobre cómo deben actuar las empresas que se ven afectadas por esta norma a la espera de que se transponga al ordenamiento interno español.

1. ¿Qué es la directiva NIS2?

La directiva NIS2 debe su nombre al título en inglés de su antecesora: Network and Information Security. Aunque dicha norma contribuyó a armonizar los protocolos de ciberseguridad en la UE y a dotar de mayor capacidad de actuación a los estados, su implementación fue desigual. Además, el panorama de amenazas al que se enfrentan las compañías europeas ha cambiado de manera radical en la última década.

Hoy en día, se producen más ciberataques, las técnicas y las tácticas de los actores hostiles son más sofisticadas y las consecuencias de un incidente grave pueden ser tan devastadoras como desiguales de un país a otro, o de un sector a otro.

Por eso, la directiva NIS2 contempla un amplio catálogo de obligaciones para los estados miembros y las empresas que operan en sectores críticos como la energía o los transportes alentando a conformar un marco homogéneo y común.

En este artículo, no vamos a detenernos en todas las obligaciones que deben asumir los estados y organismos públicos competentes en materia de ciberseguridad, sino que vamos a resumir las cuatro grandes áreas que afectan al tejido empresarial.

1.1. Gobernanza

Los órganos de dirección de las empresas que se sitúan dentro del ámbito de aplicación de NIS2 deben:

1. Aprobar las medidas que sean necesarias para llevar a cabo una gestión de riesgos de ciberseguridad eficaz.
2. Supervisar que dichas medidas se implementan.
3. Responder por los incumplimientos de la empresa en lo relativo a la gestión de riesgos.
4. Asistir a formaciones específicas para comprender los riesgos a los que se enfrentan, analizar las prácticas de gestión de riesgos de la empresa y ser conscientes de su repercusión en la actividad empresarial.

1.2. Gestión de riesgos

La gestión de riesgos de ciberseguridad es el pilar maestro de NIS2 en lo relativo al tejido empresarial. La directiva busca garantizar que las empresas pueden proteger sus sistemas frente a los incidentes. Para ello, al transponer la directiva, los estados deberán, como mínimo, estipular que en la gestión de riesgos se incluyan:

• Políticas de seguridad de los sistemas de información
• Análisis de riesgos.
• Gestión de incidentes.
• Garantizar la continuidad de negocio: realizar copias de seguridad, disaster recovery y gestión de crisis.
• Protección de la cadena de suministro.
• Seguridad de los sistemas de redes y de información.
• Evaluación de las medidas para la gestión de riesgos de ciberseguridad.
• Formación de los profesionales y prácticas de ciberhigiene.
• Políticas de utilización de criptografía y cifrado.
• Seguridad de los recursos humanos, políticas para controlar el acceso a los sistemas corporativos y gestión de los activos empresariales.
• Procedimientos para utilizar soluciones de autenticación multifactor, realizar comunicaciones seguras y disponer de sistemas seguros de comunicaciones de emergencia.

1.3. Notificación de incidentes

Las entidades sujetas a la directiva NIS2 en España deberán notificar inmediatamente al CSIRT, el equipo de ciberseguridad y gestión de incidentes españoles, de cualquier incidente significativo o a la autoridad competente que establezca la legislación nacional cuando se apruebe.

¿Qué incidentes son significativos? Aquellos que causen:

1. Graves perturbaciones operativas en la empresa o pérdidas económicas.
2. Perjuicios materiales o inmateriales considerables a ciudadanos o entidades.

La cronología de notificación a las autoridades públicas se puede resumir en los siguientes plazos:

• Antes de las 24h tras la detección: notificación inicial de alerta temprana.
• En un plazo de 24h tras esta notificación, el CSIRT o autoridad competente ofrecerán orientación o asesoramiento operativo sobre la aplicación de posibles medidas paliativas.
• Máximo a las 72h tras detección: notificación intermedia.
• Actualización del estado incluyendo una evaluación inicial del incidente considerando su gravedad, impacto e indicadores de compromiso.
• En el periodo máximo de un mes tras la detección inicial se deberá remitir el informe final indicando al menos: la descripción del incidente, incluyendo su gravedad e impacto; el tipo de amenaza o causa principal; las medidas paliativas aplicadas y en curso; y repercusiones transfronterizas cuando proceda.
• De mantenerse en curso el incidente, este informe pasará a ser un informe de situación y se pospondrá el informe final a un plazo máximo de un mes tras su gestión.

Además, también se establece el deber de que las empresas informen inmediatamente a los destinatarios de sus servicios en caso de que estos se puedan ver afectados por una ciberamenaza significativa. En dicha información deben incluirse las medidas que los destinatarios pueden poner en marcha para protegerse ante la amenaza.

1.4. Servicios certificados en ciberseguridad

La directiva faculta a España y al resto de estados de la UE a exigir que las empresas que entran dentro del ámbito de aplicación de NIS2 utilicen solo productos, servicios y procesos tecnológicos certificados en materia de ciberseguridad. Además, se establece que los estados deberán promover que las empresas empleen servicios de confianza y cualificados.

2. ¿A qué empresas afecta la directiva NIS2?

Para determinar las compañías que deben cumplir la legislación que transpongan la directiva NIS2 en España debemos tener en cuenta dos factores:

• El tamaño de las empresas.
• El sector en el que operan.

En lo relativo al tamaño, la directiva estipula que deben cumplir sus obligaciones todas las entidades que sean consideradas medianas empresas de acuerdo a la normativa europea o que tengan un tamaño superior. De tal forma que estamos hablando de miles de empresas afectadas. Si bien se excluye, como norma general, a las pequeñas empresas.

Mientras que en lo que respecta a los sectores afectados, la norma diferencia entre:

• Sectores de alta criticidad (esenciales)
  • Energía
  • Transporte
  • Banca
  • Infraestructuras de mercados financieros
  • Sector sanitario
  • Agua potable
  • Aguas residuales
  • Infraestructura digital
  • Gestión de servicios de TIC (de empresa a empresa)
  • Administración pública
  • Espacio
• Otros sectores críticos (importantes)
  • Servicios postales y de mensajería
  • Gestión de residuos
  • Fabricación de productos, maquinaria y vehículos
  • Producción y distribución de sustancias y mezclas químicas
  • Producción, transformación y distribución de alimentos
  • Proveedores de servicios digitales (incluidas plataformas de RRSS) e investigación, incluidos centros de enseñanza si realizan actividades críticas.

2.1. Entidades esenciales vs. importantes

El tamaño y la inclusión en un grupo u y otro de sectores es determinante para establecer qué entidades son consideradas esenciales y cuáles importantes.

Por lo general, las organizaciones de gran tamaño que operan en sectores de alta criticidad son esenciales. A ellas hay que sumar a:

• Prestadores de servicios de confianza y registros de nombres de dominio de primer nivel, así como a los proveedores de servicios DNS, sin que su tamaño sea relevante.
• Proveedores de redes públicas de comunicaciones y de servicios de comunicaciones electrónicas que sean considerados empresas de tamaño medio.
• Administraciones públicas centrales.
• Compañías que sean las únicas proveedoras de un servicio esencial social o económicamente en su estado.
• Entidades que si sufrieran una perturbación en su operatividad provocarían:
  • Repercusiones en la seguridad, el orden y la salud públicos.
  • Riesgos sistémicos.
• Entidades críticas a nivel nacional o regional para su sector o para otros.

Mientras que las entidades importantes son todas las demás.

La directiva NIS2 impone a los estados de la UE la obligación de elaborar un listado de las entidades esenciales e importantes y las compañías que prestan servicios de registro de nombres de dominio. El plazo límite para elaborar este listado acaba el 17 de abril de 2025. Además, la norma contempla que este listado deberá ser revisado y actualizado, como mínimo, cada dos años.

3. ¿Por qué hay incertidumbre sobre la aplicación de la directiva NIS2 en España?

A diferencia de los reglamentos (como DORA o el RGPD), las directivas carecen de aplicabilidad directa. ¿Por qué? Su articulado deja cierto margen de decisión a los estados para que sean estos los que establezcan las medidas concretas y precisas.

Por ejemplo, los estados gozan de cierta liberalidad a la hora de diseñar la estrategia nacional de ciberseguridad. También pueden decidir qué autoridades se encargarán de gestionar situaciones de crisis de ciberseguridad a gran escala. Asimismo, deben establecer las medidas concretas que garanticen que los directivos de las empresas se formen en ciberseguridad y aprueben las medidas de gestión de riesgos de ciberseguridad.

Por eso, es fundamental que nuestro país apruebe una norma de derecho interno en la que se precisen las medidas que permitirán aplicar la directiva NIS2 en España. De hecho, la norma europea deja claro que estas disposiciones deben aplicarse desde el 18 de octubre de 2024.

Entonces, si el 17 de octubre, el Consejo de ministros no ha aprobado aún un RD-ley para transponer la directiva NIS2 en España, ¿qué sucederá?

En primer lugar, la Comisión Europea puede sancionar a España por incumplir su obligación de transponer la directiva de manera adecuada dentro del plazo estipulado, como viene sucediendo con respecto a otras normativas en los últimos años.

En segundo lugar, debemos tener en cuenta que el Tribunal de Justicia de la Unión Europea ha establecido que las directivas pueden producir efectos directos cuando:

• No se hayan transpuesto a la legislación nacional o dicha transposición fuese incorrecta.
• Sus medidas sean incondicionales y precisas.
• Atribuyan derechos a los ciudadanos de la UE.

Esto supone que una directiva no transpuesta puede ser invocada por un particular (un ciudadano, una empresa…) frente a un estado y obtener una indemnización, pero no resulta posible invocarla frente a otro particular.

4. ¿Qué deben hacer las empresas mientras no se transpone la directiva NIS2 en España?

Podemos responder a esta pregunta de una forma muy concisa: adaptar sus estructuras de ciberseguridad a los dictados de la directiva NIS2, aunque España no haya aprobado aún las medidas concretas en las que se sustanciarán los artículos de la norma europea.

Es decir, a falta de la legislación nacional, es fundamental que las compañías acudan a la directiva europea y pongan en marcha las acciones necesarias para adaptar su estrategia de ciberseguridad a los requisitos que estipula.

Para ello, deben contar con servicios de ciberseguridad avanzados como:

• Auditorías de seguridad para evaluar todos sus sistemas y activos tecnológicos.
• Gestión de vulnerabilidades para detectar y priorizar la mitigación de las debilidades encontradas, incluyendo las cadenas de suministro.
• Análisis de riesgos continuos inherentes a su estructura, exposición digital y panorama de amenazas.
• Servicios de pentesting para poner a prueba sus estructuras de ciberseguridad y evaluar la eficacia de las medidas implementadas.
• Servicios de respuesta a incidentes para detectar los ciberataques y responder a ellos con eficacia; garantizar la continuidad de negocio; y recuperar la normalidad.
• Test de ingeniería social que contribuyan a formar a sus plantillas sobre los riesgos a los que se enfrentan en su día a día.

5. ¿Cuáles son las consecuencias de incumplir NIS2?

Señalábamos antes que los estados tienen cierto margen para establecer las medidas concretas que deben cumplir las empresas. Pues bien, esa liberalidad afecta directamente a las sanciones que se pueden imponer a las compañías que no cumplan con la directiva NIS2 en España. ¿Por qué?

1. Los estados tienen que concretar una serie de medidas para asegurarse de que los órganos de dirección de las empresas cumplen con sus obligaciones.
2. La directiva fija las multas administrativas que se deben imponer a las entidades incumplidoras deben ser efectivas, proporcionadas y disuasorias. Y, además, establece una cuantía mínima para las multas más elevadas.
3. La norma dicta que deben ser los estados los que decidan si se imponen o no multas coercitivas a las empresas para que cesen una actuación que incumple la directiva.
4. Los estados tienen de margen hasta el 17 de enero de 2025 para establecer el régimen sancionador y comunicárselo a la Comisión Europea.

Por lo tanto, mientras no se apruebe la legislación nacional que transpondrá la directiva NIS2 en España, no podemos conocer con exactitud a cuánto ascenderán las multas administrativas a las que tendrán que enfrentarse las empresas. Pero las empresas deben ser conscientes de que las multas máximas pueden ascender:

• Para las entidades esenciales a 10 millones de euros o el 2% de su volumen de negocios anual a nivel mundial, en función de qué importe sea mayor. Este es un límite mínimo, es decir, que España podría aprobar multas máximas más elevadas.
• Para las entidades importantes, a 7 millones de euros o el 1,4% de su volumen de negocio anual en todo el mundo.

6. ¿Qué facultades tendrán las autoridades para obligar a las empresas a cumplir la directiva NIS2 en España?

6.1. Facultades de supervisión

La directiva dicta que las autoridades competentes deben tener unas facultades mínimas para supervisar a las entidades esenciales. Dichas facultades deben incluir la realización de inspecciones, auditorías de seguridad y análisis de evaluación de riesgos, entre otras. Al tratarse de facultades mínimas, los estados pueden incrementar las competencias de las autoridades competentes en materia de supervisión.

6.2. Facultades de ejecución

Mientras que en lo relativo a las facultades de ejecución, la directiva NIS2 fija que, como mínimo, las autoridades podrán:

• Emitir apercibimientos a las empresas que incumplan la directiva.
• Adoptar instrucciones vinculantes con las medidas que debe implementar una empresa para prevenir o remediar un incidente.
• Exigir a las compañías que subsanen las deficiencias detectadas o dejen de incumplir la normativa.
• Requerir a las empresas que garanticen que sus medidas de gestión de riesgos son adecuadas y que cumplen sus obligaciones en materia de notificación.
• Imponer la aplicación de las medidas recomendadas tras realizarse una auditoría de seguridad.
• Ordenar a las entidades a que informen a todos los actores a los que prestan servicios sobre ciberamenazas significativas que pueden afectarles.
• Obligar a las empresas a que informen públicamente sobre cuestiones relacionadas con incumplimientos de la directiva.
• Imponer multas administrativas o solicitar a las autoridades judiciales que lo hagan.

6.3. Facultades de suspensión

Asimismo, en caso de que estas medidas no surtan efecto, los estados están obligados a garantizar que las autoridades competentes tienen la facultad de:

1. Suspender temporalmente o solicitar por vía judicial la suspensión de parte o de todos los servicios que presta la entidad social incumplidora.
2. Solicitar a los órganos jurisdiccionales competentes que se prohíba temporalmente a una persona ejercer como director general o representante legal y realizar funciones directivas en la entidad.

Estas medidas solo se podrán imponer mientras la compañía no subsana las deficiencias encontradas o no cumple con los requisitos fijados por la autoridad competente.

En definitiva, aunque no se haya transpuesto aún la directiva NIS2 en España, el plazo para hacerlo está a punto de expirar. De tal manera que el Gobierno deberá aprobar la legislación nacional pertinente en el futuro inmediato.

Todas las empresas españolas que están sujetas al nuevo marco normativo deben estar preparadas para la aplicación de la directiva NIS2 en España. Puesto que de lo contrario se expondrán a multas económicas e, incluso, a suspensiones de su actividad o de sus cargos directivos.

Para ello, resulta de vital importancia contar con servicios de ciberseguridad avanzados que permitan a las empresas cumplir con todas sus obligaciones y gestionar los riesgos a los que se enfrentan con eficacia. En juego están su continuidad de negocio, su reputación y su posición en el mercado.