Cabecera blog ciberseguridad

¿Cómo afectará la Ley de Coordinación y Gobernanza de la Ciberseguridad a las empresas?

- Ciber 4 All Team

La Ley de Coordinación y Gobernanza de la Ciberseguridad va a afectar a miles de empresas españolas

El anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad contempla multas de hasta 10 millones de euros para las compañías incumplidoras

Miles de empresas españolas llevan meses preguntándose cuándo se comenzaría a aplicar la directiva NIS2 en España. Esta norma europea impone medidas de seguridad exhaustivas a las compañías de sectores críticos como la energía o la salud para prevenir los ciberataques y reducir el impacto de los incidentes de seguridad.

Aunque debía haberse transpuesto al ordenamiento interno español antes del 18 de octubre de 2024, el Gobierno no había puesto en marcha el proceso para aprobar la pertinente ley hasta ahora.

Hace unos días, el Consejo de Ministros aprobó el anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad. Ahora, esta norma deberá ser sometida a consulta pública. Después, volverá al Consejo de Ministros para la aprobación definitiva del proyecto de ley. Finalmente, se tramitará por la vía de urgencia en el Congreso de los Diputados para conseguir que entre en vigor lo antes posible.

Por lo tanto, aún faltan unos cuantos meses para que la Ley de Coordinación y Gobernanza de la Ciberseguridad sea de obligado cumplimiento, pero ante el desafío que supone para las empresas, es fundamental que las compañías se pongan manos a la obra para adaptarse a sus requisitos.

A continuación, desgranamos las principales medidas de la Ley de Coordinación y Gobernanza de la Ciberseguridad que afectan a las empresas. Por eso, no nos vamos a detener en cuestiones relevantes de la norma como la puesta en marcha del Centro Nacional de Ciberseguridad o la aprobación de la Estrategia Nacional de Ciberseguridad.

1. ¿Qué empresas deberán cumplir con la Ley de Coordinación y Gobernanza de la Ciberseguridad?

El anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad establece que están obligadas a cumplir con esta nueva normativa las empresas que:

  • Tengan su residencia fiscal en España.
  • Pertenezcan a un sector de alta criticidad o a un sector crítico.
  • Cuenten con plantillas conformadas por 50 o más trabajadores.
  • Tengan un volumen de negocios anual superior a los 10 millones de euros.

Es decir, las empresas medianas y grandes que operen en sectores críticos deberán cumplir la Ley de Coordinación y Gobernanza de la Ciberseguridad, pero ¿cuáles son esos sectores?

1.1. Sectores de alta criticidad

La norma contempla 12 sectores de alta criticidad:

  1. Energía: electricidad, sistemas urbanos de calefacción y de refrigeración, crudo, gas e hidrógeno.
  2. Transporte: aéreo, por ferrocarril, marítimo y fluvial, por carretera.
  3. Banca. Si bien algunas disposiciones de la ley no les serán de aplicación porque seguirán rigiéndose por el reglamento DORA.
  4. Infraestructuras de los mercados financieros.
  5. Salud.
  6. Agua potable.
  7. Aguas residuales.
  8. Infraestructura digital.
  9. Gestión de servicios de TIC prestados a empresas
  10. Administraciones públicas, sin incluir el poder judicial, los parlamentos y los bancos centrales.
  11. Espacio.
  12. Industria Nuclear.

1.2. Otros sectores críticos

Además de aplicarse en los sectores de elevada criticidad, la Ley de Coordinación y Gobernanza de la Ciberseguridad también deberá ser cumplida por las empresas que operan en otros sectores considerados críticos:

  1. Servicios postales y de mensajería.
  2. Gestión de residuos.
  3. Mezclas y sustancias químicas.
  4. Alimentación.
  5. Fabricación de productos sanitarios, informáticos, electrónicos, material eléctrico, maquinaria n.c.o.p., vehículos de motor, remolques y demás material de transporte.
  6. Proveedores de servicios digitales.
  7. Investigación.
  8. Seguridad privada.

1.3. Casuísticas especiales

Más allá de esta norma general, la Ley de Coordinación y Gobernanza de la Ciberseguridad contemplan casuísticas especiales para incluir en su ámbito de aplicación a empresas de menor tamaño:

  • Proveedores de redes públicas de comunicaciones electrónicas, prestadores de servicios de confianza y proveedores de servicios de sistema de nombres de dominio y registros de nombres de dominio.
  • Entidades que sean las únicas proveedoras en nuestro país de servicios esenciales para actividades sociales o económicas críticas.
  • Organizaciones que si sufren una perturbación en sus servicios podrían desencadenar repercusiones para la seguridad nacional, el orden público, la salud, la economía o la prestación de servicios. Igualmente, también deberán cumplir con la Ley de Coordinación y Gobernanza de la Ciberseguridad las organizaciones que si sufren interrupciones en sus servicios pueden causar riesgos sistémicos de relevancia.
  • Entidades críticas de acuerdo a las normas de protección de las infraestructuras críticas.
  • Universidades y centros de investigación, solo en lo relativo a proyectos de investigación vinculados con sectores de alta criticidad o sectores críticos.
  • Empresas en las que las administraciones públicas disponen del 25% o más de su capital o que estén controladas por organismos públicos.
  • Cualquier organización que la autoridad de control identifique como esencial o importante.

Por otro lado, la norma también contempla que entran dentro de su ámbito de aplicación las empresas que tengan su domicilio fiscal en otro estado de la Unión Europea pero que ofrecen sus servicios en España o cuentan con un establecimiento permanente en nuestro país si son:

  • Proveedores de redes públicas de comunicaciones electrónicas o de servicios de comunicaciones electrónicas.
  • Proveedores de servicios e infraestructura tecnológica, si tienen su establecimiento principal en nuestro país.

2. ¿Todas las empresas deben asumir las mismas obligaciones?

No, la Ley de Coordinación y Gobernanza de la Ciberseguridad diferencia entre entidades esenciales e importantes.

Así, se consideran entidades esenciales:

  • Las empresas que:
    • Pertenecen a los sectores de alta criticidad que desgranamos antes.
    • Son consideradas grandes empresas por contar con 250 o más trabajadores y tener un volumen de negocio superior a los 50 millones de euros o un balance general anual de 43 millones de euros o más.
  • Las compañías que presten servicios de confianza y registros de nombres de dominio de primer nivel. Igualmente, también son entidades esenciales los proveedores de servicios DNS. En ninguno de estos casos importa el tamaño de las organizaciones.
  • Los proveedores de redes públicas de comunicaciones y de servicios de comunicaciones electrónicas que:
    • Se traten de medianas empresas por emplear a 50 trabajadores sin llegar a los 250 y que tengan un volumen de negocios anual superior a los 10 millones de euros, pero por debajo de los 50 millones de euros.
  • Las entidades que hubiesen sido declaradas operadores de servicios esenciales antes del 16 de enero de 2023 de acuerdo al RD-ley 12/2018.
  • Las empresas que califiquen como entidades esenciales las autoridades de control.

El resto de empresas obligadas a cumplir con la Ley de Coordinación y Gobernanza de la Ciberseguridad serán consideradas entidades importantes.

El Centro Nacional de Ciberseguridad deberá elaborar una lista de entidades esenciales e importantes que operan en nuestro país, revisarla frecuentemente y actualizarla por lo menos cada dos años.

La calificación como entidad esencial o importante es crucial en lo que respecta al cumplimiento de las medidas para la gestión de riesgos, la capacidad de supervisión y ejecución de las autoridades o la imposición de las multas más elevadas.

La Ley de Coordinación y Gobernanza de la Ciberseguridad va a afectar al sector de la salud

3. ¿Cuáles son las medidas para la gestión de riesgos de ciberseguridad que deben poner en marcha las compañías?

El anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad indica que debe ser el Centro Nacional de Ciberseguridad quién establezca «las medidas técnicas, operativas y de organización» que deben cumplir las entidades esenciales e importantes. Estas medidas deberán garantizar un nivel adecuado de seguridad de:

  • Las redes y sistemas de información de las empresas.
  • El entorno físico de las organizaciones.

Aunque deberá ser el CNC el que detalle con precisión las medidas a implementar, como mínimo se deberán exigir las siguientes:

  • Elaboración de políticas de seguridad de las redes y sistemas, así como de un análisis de riesgos.
  • Gestión de incidentes de seguridad.
  • Gestión de copias de seguridad, recuperación en caso de catástrofe y gestión de crisis para garantizar la continuidad de negocio.
  • Fortalecimiento de la seguridad de la cadena de suministro.
  • Gestión de vulnerabilidades y divulgación de las mismas para adquirir, desarrollar y mantener redes y sistemas de manera segura.
  • Evaluación de las medidas de gestión de riesgos.
  • Utilización de criptografía y cifrado.
  • Puesta en marcha de políticas de control de acceso y gestión de activos.
  • Empleo de soluciones de autenticación multifactor y continua y sistemas seguros de comunicaciones de emergencia.

Estas medidas deberán aplicarse a los activos y sistemas que las empresas empleen para prestar sus servicios y han de recogerse dentro de una declaración de aplicabilidad de sistemas que ha de facilitarse a la autoridad de control del sector en el que opere la empresa dentro de los 6 meses siguientes a que pase a ser considerada una entidad esencial o importante.

4. ¿Cómo deberán demostrar las empresas que cumplen con las medidas de gestión de riesgos de seguridad?

La Ley de Coordinación y Gobernanza de la Ciberseguridad contempla dos vías diferentes en función de si las empresas son entidades esenciales o importantes:

  • Las entidades esenciales deberán obtener una certificación de conformidad que acredite el cumplimiento de las medidas.
  • Las entidades importantes podrán elegir entre obtener la certificación o realizar una autoevaluación de su postura de seguridad.

El proceso de certificación será establecido por el Centro Nacional de Ciberseguridad.

5. ¿Qué funciones asume el responsable de la seguridad de la información?

Una de las claves de la Ley de Coordinación y Gobernanza de la Ciberseguridad es que obliga a las empresas a designar a un responsable de la seguridad de la información. Dicho responsable puede ser una persona o un órgano colegiado y deberá:

  • Elaborar la estrategia y políticas de seguridad de la empresa, incluidas las medidas de gestión de riesgos de ciberseguridad.
  • Supervisar e implementar las políticas de seguridad de la organización.
  • Evaluar el cumplimiento de la normativa en vigor en materia de seguridad.
  • Velar por la implementación de buenas prácticas de ciberseguridad.
  • Gestionar los incidentes de ciberseguridad.
  • Notificar a la autoridad de control los incidentes de seguridad que afecten a la prestación de servicios de la empresa y las vulnerabilidades detectadas.
  • Recibir y monitorizar la implementación de las instrucciones y guías de la autoridad de control.
  • Suministrar información a la autoridad de control y a los CSIRT de referencia.
  • Elaborar y firmar el documento de aplicabilidad de sistemas.
  • Comprobar que los proveedores cumplen con los criterios de seguridad fijados por la compañía.

¿Qué requisitos debe cumplir el responsable de seguridad de la información? Ha de tener formación específica y demostrar capacidad técnica para ejercer sus funciones.

Además, en el caso de las entidades esenciales, el responsable de seguridad de la información deberá:

  • Estar acreditado por el Ministerio del Interior.
  • Disponer de profesionales con conocimientos especializados y experiencia en ciberseguridad.
  • Contar con los recursos que necesite para ejercer sus funciones.
  • Ocupar un puesto de relevancia dentro de la empresa para poder participar en la toma de decisiones y mantener una comunicación efectiva con el consejo de administración.
  • Ser independiente con respecto a los responsables de redes y sistemas de información.

Miles de empresas tendrán que implementar estructuras de ciberseguridad avanzadas

6. ¿Las compañías están obligadas a resolver los incidentes de seguridad?

La Ley de Coordinación y Gobernanza de la Ciberseguridad establece que las organizaciones han de:

  • Gestionar y solventar los incidentes que afectan a sus redes y sistemas.
  • Garantizar que sus proveedores gestionan los incidentes que afectan a sus sistemas y redes.

Esta obligación debe cumplirse tanto si fue la empresa la que detectó el incidente como si la alerta proviene de la autoridad de control o el CSIRT.

De cara a responder de manera eficaz a los incidentes de seguridad, las compañías pueden pedir la ayuda del CSIRT e implementar las medidas establecidas por este para resolver el incidente, mitigar su impacto y recuperar la normalidad.

Igualmente, a la hora de resolver los incidentes, las organizaciones deben implementar sus políticas de gestión de la seguridad, así como las obligaciones específicas que impongan las autoridades de control.

7. ¿Cuáles son las obligaciones de notificación de incidentes de seguridad?

En materia de notificación de incidentes, la Ley de Coordinación y Gobernanza de la Ciberseguridad establece que las organizaciones deben, a través de su responsable de la seguridad de la información:

  • Notificar a la autoridad de control a través del CSIRT cualquier incidente significativo que haya afectado a su operatividad o a la prestación de sus servicios. Tanto si el incidente ha afectado a sus redes y sistemas propios, como a los que son propiedad de sus proveedores.
  • Informar a los destinatarios de sus servicios de incidentes que puedan causarles perjuicios y de ciberamenazas significativas. En estas comunicaciones se deben incluir medidas o soluciones que se puedan implementar para mitigar los riesgos.
  • Facilitar toda la información necesaria para determinar si un incidente es fruto de un acto delictivo. Esta información será analizada por la Oficina de Coordinación de Ciberseguridad y, en caso de que se detecte la comisión de un delito, se comunicará a la Fiscalía.

7.1. ¿Qué información deben proporcionar las empresas a su CSIRT de referencia?

  • En un plazo de 24 horas desde que se tiene constancia del incidente, se ha de enviar una alerta temprana en la que se debe indicar:
    • Si se sospecha que el incidente tiene un origen malintencionado, es decir, si se trata de un ciberataque.
    • Si puede haber repercusiones transfronterizas.
  • En un plazo de 72 horas, se deberá presentar una notificación del incidente en la que se complete la información anterior y se aporte una evaluación inicial del incidente que incluya: nivel de peligrosidad, impacto e indicadores de compromiso detectados.
  • Enviar un informe intermedio si así lo solicitan el CSIRT o la autoridad de control.
  • En el plazo de un mes desde que se envió la notificación del incidente, se debe presentar un informe final en el que se:
    • Realice una descripción detallada del incidente.
    • Establezca el tipo de amenaza o la causa que provocó el incidente.
    • Detallen las medidas de mitigación puestas en marcha.
    • Especifiquen las repercusiones transfronterizas en caso de que se hubiesen producido.
    • Listen los indicadores de compromiso (IoCs) y las tácticas, técnicas y procedimientos (TTPs) empleadas por los actores maliciosos que provocaron el incidente.

Si en el momento de entregar el informe final el incidente aún no ha finalizado, se facilitará un informe de situación y el informe final deberá presentarse en el plazo de un mes desde que se haya terminado de gestionar el incidente.

La Ley de Coordinación y Gobernanza de la Ciberseguridad establece que las obligaciones de notificación deberán cumplir, preferentemente, a través de la Plataforma Nacional de Notificación y Seguimiento de Ciberincidentes que deberá gestionar el CCN-CERT.

8. ¿Cómo se verificará el cumplimiento de la Ley de Coordinación y Gobernanza de la Ciberseguridad?

Para garantizar el cumplimiento de todas las obligaciones de las empresas, la Ley de Coordinación y Gobernanza de la Ciberseguridad faculta a las autoridades de control a realizar un amplio abanico de actuaciones que les permitan:

  • Controlar el cumplimiento por parte de las organizaciones de las instrucciones técnicas, estándares y guías en materia de ciberseguridad.
  • Verificar que el responsable de la seguridad de la información de una empresa cumple con sus funciones.
  • Llevar a cabo comprobaciones, inspecciones, auditorías, pruebas y demás acciones que sirvan para monitorizar el cumplimiento de las medidas de seguridad en las compañías.
  • Exigir que se ponga fin a conductas que incumplen la ley o que se implementen medidas y recomendaciones para subsanar deficiencias.
  • Imponer medidas coercitivas para corregir las deficiencias y garantizar el cumplimiento de los requisitos en materia de ciberseguridad: suspensión de la certificación de la empresa y solicitar a los organismos jurisdiccionales que se prohíba temporalmente al director general de la empresa que ejerza cargos directivos. Estas medidas coercitivas solo se podrán dirigir contra entidades esenciales, no contra las organizaciones consideradas importantes.
  • Aprobar las sanciones por infracciones de la normativa.

En este sentido, la Ley de Coordinación y Gobernanza de la Ciberseguridad impone a las compañías el deber de:

  • Colaborar con las tareas de supervisión.
  • Facilitar las inspecciones de la autoridad de control.
  • Proporcionar toda la información que se les requiera, como los resultados de auditorías de seguridad.
  • Aplicar las órdenes e instrucciones de la autoridad de control.
  • Subsanar las deficiencias observadas con la máxima celeridad.

La Ley de Coordinación y Gobernanza de la Ciberseguridad establece obligaciones específicas para los órganos de dirección de las empresas

9. ¿Qué obligaciones deben cumplir los órganos de dirección de las empresas?

El anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad establece que los órganos de dirección de las empresas:

  • Son los responsables de:
    • Que se apliquen las medidas para la gestión de riesgos de ciberseguridad.
    • Supervisar que las medidas se implementan de manera adecuada.
  • Asumen la responsabilidad en caso de incumplimiento. Hasta el punto de que la Ley de Coordinación y Gobernanza de la Ciberseguridad prevé que «los miembros de los órganos de dirección de las entidades responderán solidariamente de las infracciones que éstas cometan».
  • Deben recibir una formación continua sobre ciberseguridad para poder:
    • Detectar riesgos.
    • Evaluar las medidas de gestión de riesgos.
    • Entender la repercusión de los riesgos en el funcionamiento de la organización y los servicios que presta.
  • Han de organizar formaciones periódicas para todos los profesionales de las empresas.

Además, debemos recordar que las autoridades de control pueden solicitar a los tribunales que se prohíba al director general de la empresa ejercer cargos directivos hasta que no se subsanen las deficiencias detectadas y se cumplan con los requisitos de la Ley de Coordinación y Gobernanza de la Ciberseguridad.

10. ¿A cuánto ascienden las multas por incumplir la Ley de Coordinación y Gobernanza de la Ciberseguridad?

El régimen sancionador de la Ley de Coordinación y Gobernanza de la Ciberseguridad prevé varios niveles de sanciones en función de la gravedad de las infracciones cometidas y del tipo de entidad que infringió la normativa:

  • Multas de hasta 10 millones de euros o el 2% del volumen de negocio de la empresa a las entidades relevantes por:
    • No implementar las medidas para la gestión de riesgos de seguridad en caso de que este hecho haya originado un incidente de seguridad significativo.
    • Incumplir de manera reiterada la obligación de notificar los incidentes significativos.
  • Multas de hasta 7 millones de euros o el 1,4% del volumen de negocio mundial a las entidades importantes que cometan las infracciones del punto anterior.
  • Multas de entre 500.001 euros y 2 millones de euros por:
    • No adoptar las medidas necesarias para resolver un incidente.
    • No proporcionar la información suficiente para determinar si un incidente tiene o no carácter delictivo.
    • Incumplir las obligaciones específicas establecidas por el Centro Nacional de Ciberseguridad «en situaciones de justificada necesidad».
    • Infringir de manera reiterada las obligaciones de información y colaboración con los CSIRT y las autoridades de control.
  • Multas de entre 100.001 euros y 500.000 euros por cometer infracciones graves como demorarse a la hora de implementar las medidas para la gestión de riesgos de seguridad, incumplir de manera grave las instrucciones de la autoridad de control o facilitar a la opinión pública información falsa sobre los estándares de seguridad que cumple la empresa.
  • Multas de entre 10.000 euros y 100.000 euros por infracciones leves como notificar incidentes de seguridad sin incorporar toda la información que deben recoger los informes o no comunicar a las personas y empresas las ciberamenazas que pueden afectarles.

11. ¿Qué servicios de ciberseguridad ayudarán a las empresas a cumplir la Ley de Coordinación y Gobernanza de la Ciberseguridad?

Habida cuenta de lo que venimos de exponer, resulta evidente que las compañías que estarán sometidas a la Ley de Coordinación y Gobernanza de la Ciberseguridad deben contar con servicios de ciberseguridad que les permitan cumplir con todos los requisitos y medidas de la norma:

  • Auditorías de seguridad. Son fundamentales para detectar vulnerabilidades presentes en los sistemas y activos corporativos y diseñar estrategias de seguridad sólidas.
  • Gestión de vulnerabilidades. Uno de los deberes de las empresas que deben cumplir la Ley de Coordinación y Gobernanza de la Ciberseguridad es gestionar las vulnerabilidades de una forma eficaz para prevenir incidentes.
  • Servicios de pentesting y ejercicios de Red Team para poner a prueba las medidas de seguridad implementadas y mejorar la resiliencia de las organizaciones ante los ciberataques.
  • Servicios de Threat Hunting y respuesta a incidentes para detectar las amenazas en fases tempranas, determinar el alcance del compromiso, contener el incidente de seguridad, expulsar al actor malicioso y resolver el incidente en el menor tiempo posible y salvaguardando la continuidad de negocio.

En definitiva, aunque aún quede un largo recorrido hasta la aprobación de la Ley de Coordinación y Gobernanza de la Ciberseguridad y la norma pueda sufrir cambios durante su tramitación parlamentaria, ya conocemos las principales obligaciones que va a imponer a las empresas de sectores críticos y a sus órganos de dirección en materia de ciberseguridad.

Esta futura norma evidencia el papel central que juega la ciberseguridad hoy en día, obliga a las compañías a situar esta área en el corazón de sus estrategias y pone en valor la importancia de contar con servicios de ciberseguridad integrales que permitan gestionar las vulnerabilidades y afrontar los incidentes de seguridad con éxito.