Tramitación de la Ley de Coordinación y Gobernanza de la Ciberseguridad que transpondrá la NIS2

El pasado 16 de enero, el Consejo de Ministros aprobó el Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad, por el cual tendrá lugar la transposición de la Directiva NIS2 (Network and Information Security Directiva 2) al ordenamiento jurídico español. Esta nueva ley amplía el alcance de la normativa anterior (NIS 2016) e introduce requisitos más estrictos para un mayor número de empresas.

Principales novedades de la ley:

• Ampliación del alcance de la aplicación:  se incluyen nuevos sectores como la gestión de residuos, los servicios postales, la fabricación de dispositivos médicos y productos farmacéuticos o la investigación.
• Refuerzo de las medidas de ciberseguridad: se establecen requisitos más detallados en cuanto a la prevención, detección y gestión de incidentes cibernéticos. Las empresas deberán aplicar medidas más estrictas para proteger sus sistemas, como la autenticación multifactor y el cifrado de datos.
• Mejora de la coordinación entre actores clave: se fomentará la colaboración entre administraciones públicas, empresas y el sector académico a través de plataformas de intercambio de información y equipos de respuesta a incidentes.
• Endurecimiento del régimen sancionador: se incrementan las multas por incumplimiento, que pueden llegar hasta los 10 millones de euros o el 2% del volumen de negocio anual global de la empresa.

Criterios que determinan qué entidades deben cumplir con la NIS2:

1. Ubicación. Si la entidad ofrece servicios o desarrolla actividades en cualquier país de la Unión Europea (con independencia de si tienen su sede en la UE o no).
2. Tamaño. Si la entidad está clasificada como organización de medio o gran tamaño:
3. 1. Empresas medianas: entre 50 y 250 empleados y entre 10 y 50 millones de euros en ingresos anuales.
   2. Grandes organizaciones: más de 250 empleados y más de 50 millones de euros en ingresos anuales.
4. Sector. Si la entidad pertenece a alguno de los sectores considerados esenciales o críticos que están definidos en el anexo de la Directiva, no obstante, a continuación citamos algunas de ellas. 

Entidades esenciales según la NIS2:

• Compañías que se clasifican como grandes empresas y pertenecen a uno de los 11 sectores críticos.
• Prestadores de servicios de confianza.
• Proveedores de servicios de DNS.
• Redes públicas de comunicaciones electrónicas.
• Entidades de la Administración pública.
• Cualquier entidad considerada crítica según la Directiva (UE) 2022/2557 sobre resiliencia de las entidades críticas (CER).
• Otras entidades especificadas por los Estados miembros.

Las entidades importantes son todas las demás organizaciones que no se clasifican como entidades esenciales, pero que cumplen con los 3 criterios mencionados anteriormente.

Por ello, os recordamos la importancia de analizar el impacto de esta nueva normativa en vuestras organizaciones para asegurar su cumplimiento y prevenir posibles riesgos, tanto regulatorios como relacionados con la seguridad de la información. 

Más información: 

• Directiva NIS2: https://www.boe.es/buscar/doc.php?id=DOUE-L-2022-81963 
• F&Q sobre la NIS2: https://www.incibe.es/incibe-cert/sectores-estrategicos/FAQNIS2
• Lo que necesitas saber de la NIS2: https://www.incibe.es/incibe-cert/sectores-estrategicos/NIS2-necesitas-saber#:~:text=La%20Directiva%20NIS2%20propone%20seguir,en%20NCSC%20Quick%20Reference%20Guide

Redactado por Carlota Moreno, a fecha 10 de febrero de 2025.