Cabecera blog ciberseguridad

Entre 180.000 € y 2 millones de €. Este será el coste de la Ley de Ciberseguridad para las empresas

- Ciber 4 All Team

El coste de la Ley de Ciberseguridad para las empresas puede llegar a ser muy cuantioso

Casi 6.000 empresas españolas tendrán que adaptar sus estrategias para optimizar su capacidad de gestionar incidentes y asumir el coste de la Ley de Ciberseguridad

Con tres meses de retraso con respecto a la fecha máxima fijada para transponer la directiva NIS2, el Gobierno ha aprobado el anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad. Esta norma tiene como objetivo incrementar la resiliencia de las empresas que operan en sectores críticos para la economía y la sociedad como la energía, el agua, el transporte o la salud.

¿Cuál será el coste de la Ley de Ciberseguridad para las casi 6.000 empresas españolas que se estima que deberán cumplirla? ¿Qué medidas en materia de gestión de vulnerabilidades e incidentes de seguridad impone la norma a las compañías? ¿Todas las empresas deben asumir las mismas obligaciones?

A continuación, analizamos el coste de la Ley de Ciberseguridad para las empresas y el impacto de esta medida en el tejido productivo y su madurez en materia de ciberseguridad.

1. ¿Cuántas empresas españolas deberán cumplir la Ley de Ciberseguridad?

Antes de aprobar el anteproyecto de Ley de Ciberseguridad en el Consejo de Ministros, los ministerios implicados en la elaboración de la norma realizaron el pertinente análisis de su impacto.

En este documento se estima que deberán adaptarse a esta ley:

  • 1.819 entidades esenciales.
  • 3.941 entidades importantes.

¿Cómo se llega a esta cifra? A partir de la información recabada por el Instituto Nacional de Estadística (INE) sobre las características de las empresas de nuestro país que permite estimar qué empresas cumplen los requisitos establecidos en la ley. Así, según el anteproyecto de la norma, están obligadas a cumplirla las compañías que:

  • Tengan su residencia fiscal en España.
  • Desarrollen sus actividades en:
    • Sectores de alta criticidad: energía, transporte, banca, infraestructuras de los mercados financieros, sanidad, aguas potables o residuales, infraestructura digital, gestión de servicios TIC que se prestan a empresas, administraciones públicas, espacio e industria nuclear.
    • Otros sectores críticos: servicios de correos y mensajería, residuos, sustancias químicas, alimentación, productos sanitarios, informáticos, electrónicos o vehículos de motor, proveedores de servicios digitales, investigación y seguridad privada.
  • Estén formadas por 50 o más trabajadores.
  • Hayan superado los 10 millones de euros de facturación anual.

Más allá de estos requisitos, las autoridades podrán incluir dentro del ámbito de aplicación de la Ley de Ciberseguridad a empresas que no los cumplen. Por ejemplo, compañías que sean las únicas proveedoras en España de servicios clave desde el punto de vista social o económico.

Así, el Gobierno estima que casi 6.000 organizaciones deberán cumplir la normativa y asumir el coste de la Ley de Ciberseguridad.

2. ¿Qué empresas son esenciales y cuáles solo importantes?

Como apuntamos antes, el análisis del impacto de la Ley de Ciberseguridad diferencia entre entidades esenciales e importantes. ¿Cómo se determina en qué categoría entra cada empresa?

El anteproyecto de ley establece que se considerarán entidades esenciales las compañías que:

  • Realicen sus actividades en los sectores de alta criticidad.
  • Cuenten con plantillas conformadas por 250 o más trabajadores.
  • Su volumen de negocio sea superior a los 50 millones de euros anuales o su balance general anual alcance los 43 millones de euros.

Asimismo, también serán entidades esenciales:

  • Sin importar su tamaño, los proveedores de servicios de confianza y registros de nombres de dominio y servicios DNS.
  • Las empresas que empleen a 50 o más trabajadores o tengan una facturación anual de 10 millones de euros si proveen redes públicas de comunicaciones y servicios de comunicaciones electrónicas.
  • Todas las organizaciones que ya habían sido declaradas operadores de servicios esenciales de acuerdo a los criterios de la directiva NIS1.
  • Las empresas que sean catalogadas como entidades esenciales por las autoridades.

¿Qué pasa con las compañías que no entren dentro de estas casuísticas? Serán consideradas entidades importantes.

¿Por qué es importante precisar si una empresa es esencial o importante? El coste de la Ley de Ciberseguridad es notoriamente superior para las entidades esenciales que para las importantes porque están sometidas a mayores obligaciones.

La futura Ley de Ciberseguridad va a afectar a más de 6.000 empresas en nuestro país

3. ¿Ya están adaptadas las compañías de nuestro país a los requisitos de la nueva ley?

La memoria en la que se incluye el análisis del impacto de la Ley de Ciberseguridad diferencia entre tres grupos a la hora de evaluar el nivel de implantación de las medidas de la norma:

  • Se estima que las entidades importantes solo tienen implementadas, a día de hoy, el 27% de las medidas que deben cumplir.
  • En lo que respecta a las entidades esenciales:
    • Las que ya tenían que cumplir con lo exigido por NIS1 presentan un nivel de implementación del 95%.
    • Mientras que el resto de entidades esenciales se quedan en un porcentaje de medidas implementadas del 48%.

Estos datos evidencian que el tejido productivo español debe destinar recursos y situar la ciberseguridad en el centro de sus estrategias empresariales no solo para cumplir con la normativa, sino, sobre todo, para incrementar su capacidad de prevenir incidentes y responder a ellos con éxito.

Asimismo, el bajo nivel de implementación de las medidas impuestas por la norma que va a transponer NIS2 implica que:

  • El coste de la Ley de Ciberseguridad va a ser mayor en las organizaciones menos preparadas.
  • Las compañías deben ponerse en marcha cuanto antes contratando servicios de ciberseguridad integrales que les permitan adaptar sus organizaciones a la ley e incrementar su resiliencia ante los ciberataques.

4. ¿Cuál es el coste de la Ley de Ciberseguridad para las empresas importantes y esenciales?

El análisis efectuado por el Gobierno también ofrece estimaciones del coste de la Ley de Ciberseguridad para las empresas. Así, se prevé que:

  • Las entidades importantes que deben adaptar sus estructuras de ciberseguridad de cero deberán invertir casi 180.000 euros de media.
  • Para las empresas consideradas importantes que presenten un nivel de implementación de las medidas de NIS2 de acuerdo a la media (27%), el coste de la Ley de Ciberseguridad será de 131.000 euros.
  • Las entidades esenciales que deban implementar aún todas las medidas de la ley han de invertir hasta 2,15 millones de euros.
  • Mientras que para las compañías consideradas esenciales que presenten un nivel de implementación medio (48%) el coste de la Ley de Ciberseguridad rondará los 1,19 millones de euros.
  • Finalmente, las compañías esenciales que ya estaba reguladas con anterioridad y obligadas a cumplir NIS1 tendrán que invertir 107.000 euros en adaptarse a NIS2.

A la luz de estas cifras, parece evidente que es importante que las empresas se pongan en marcha cuanto antes implementando los servicios y mecanismos de ciberseguridad que les permitirán cumplir con la norma cuando entre en vigor y, así, gestionar mejor la adaptación desde el punto de vista financiero.

¿A cuánto ascenderá el coste de la Ley de Ciberseguridad para el conjunto del tejido productivo de nuestro país? El Gobierno estima que las 6.000 entidades obligadas a cumplir con la norma desembolsarán en total casi 2.250 millones de euros.

El coste de la Ley de Ciberseguridad para las empresas españolas evidencia la relevancia que va a adquirir la ciberseguridad en las estrategias empresariales

5. ¿Cuáles son las principales medidas que deberán implementar las compañías en materia de ciberseguridad?

Hasta ahora hemos abordado el coste de la Ley de Ciberseguridad, pero no hemos hecho mención a cómo se gastarán los recursos que van a tener que destinar las empresas.

5.1. De la gestión de riesgos a la formación

De una forma sucinta, vamos a repasar las principales medidas que establece la ley:

  • Gestión de riesgos de seguridad:
    • Diseño e implementación de políticas de seguridad eficaces a la hora de proteger las redes y los sistemas de información corporativos.
    • Realización de análisis de riesgos.
    • Gestión de vulnerabilidades.
    • Gestión de incidentes de seguridad.
    • Realización continua de copias de seguridad, mecanismos de disaster recovery y protocolos de gestión de crisis para evitar que la operatividad de las empresas se vea afectada por incidentes de seguridad.
    • Medidas para incrementar la protección de la cadena de suministro.
    • Evaluación de los mecanismos de gestión de riesgos.
    • Empleo de criptografía y cifrado, así como soluciones de autenticación multifactor para proteger la información.
    • Establecimiento de políticas de control de acceso y gestión de activos.
  • Resolución de incidentes:
    • Las empresas deben contar con servicios de respuesta a incidentes que afectan a sus sistemas y redes corporativos de cara a mitigar su impacto, solventarlo y garantizar la vuelta a la normalidad en el menor tiempo posible.
    • Las compañías también están obligadas a garantizar que sus proveedores son capaces de resolver los incidentes de seguridad que les afectan.
  • Notificación de incidentes de seguridad a las autoridades y a las personas que se puedan ver afectadas por ellos, siguiendo plazos y requisitos de información exigentes.
  • Designación de un responsable de la seguridad de la información que deberá supervisar la implementación de todas las medidas y servir como punto de contacto de las autoridades ante cualquier necesidad de obtener información.
  • Programas de formación continua en ciberseguridad para los directivos y el conjunto de las plantillas.

5.2. Certificaciones, autoevaluaciones, multas y suspensiones

Para garantizar la implementación de todas las medidas recogidas en la ley se prevé que:

  • Las entidades esenciales obtengan un certificado de conformidad expedido tras un riguroso análisis de sus estructuras de ciberseguridad.
  • Las entidades importantes escojan entre el mecanismo anterior o la realización de una autoevaluación de la postura de seguridad de sus organizaciones.
  • Las autoridades de control pueden realizar inspecciones, auditorías y pruebas; requerir información; exigir el cumplimiento de las medidas de la ley; imponer multas de hasta 10 millones de euros en los casos de incumplimientos más graves; o dictar medidas coercitivas como la suspensión de la certificación de una empresa o la prohibición de que su director general ejerza sus funciones hasta que no se solventen las deficiencias detectadas.

Estas últimas actuaciones que puede emprender la autoridad de control evidencian que el coste de la Ley de Ciberseguridad para las empresas aumenta notablemente en caso de que no se implementen todas las medidas de seguridad requeridas por la norma.

6. El coste de la Ley de Ciberseguridad vs. el coste de incidentes de seguridad graves

Al hablar del coste de la Ley de Ciberseguridad es fundamental tener en cuenta que se trata de una inversión que deben hacer las compañías en una de las cuestiones capitales de esta era: proteger sus activos digitales y con ellos sus modelos de negocio.

A pesar del crecimiento exponencial que han experimentado los ciberataques y los incidentes de seguridad en la última década, aún hay empresas que no sitúan a la ciberseguridad en el corazón de sus estrategias de negocio.

En este sentido, la Ley de Ciberseguridad puede ser un revulsivo para que empresas medianas y grandes que operan en sectores de enorme trascendencia económica y social implementen un catálogo de servicios de ciberseguridad que les permita protegerse ante las amenazas y minimizar el impacto de los ciberataques.

6.1. Repercusiones financieras, legales y reputacionales de los incidentes

Al fin y al cabo, no podemos perder de vista que el coste de la Ley de Ciberseguridad es mínimo si lo comparamos con el impacto económico que puede generar un incidente de seguridad grave:

  • Pérdidas económicas derivadas de la afectación sufrida en la actividad cotidiana de la empresa o el menoscabo de la continuidad de negocio.
  • Robo de propiedad intelectual e industrial y sustracción de información crítica sobre los clientes o la estrategia de un negocio.
  • Costes directos vinculados a la resolución de un incidente.
  • Cuantiosas sanciones por incumplir normas como la Ley de Ciberseguridad o el Reglamento General de Protección de Datos.
  • Conflictos legales con clientes, trabajadores o socios comerciales que se hayan visto afectados por incidentes de seguridad en los que las empresas actuaron negligentemente.

Dicho de otra forma, el coste de la Ley de Ciberseguridad debe ser visto como una inversión que permitirá a las empresas dotarse de servicios de ciberseguridad de calidad que les permitirán mejorar la gestión de riesgos, vulnerabilidades e incidentes para incrementar su nivel de protección ante las ciberamenazas.

Más artículos de la serie Ley de Ciberseguridad

Este artículo forma parte de una serie de articulos sobre Ley de Ciberseguridad

  1. ¿Cómo afectará la Ley de Coordinación y Gobernanza de la Ciberseguridad a las empresas?
  2. Entre 180.000 € y 2 millones de €. Este será el coste de la Ley de Ciberseguridad para las empresas