Empresarios y abogados TIC denuncian la falta de trasposición de la directiva NIS2 en España, fuera ya de plazo

El pasado miércoles, 17 de octubre, se cumplía el plazo límite para que los Estados miembros traspusieran en sus legislaciones nacionales la Directiva NIS2, relativa a las medidas para garantizar un elevado nivel de ciberseguridad. 

Aunque la NIS2 entró en vigor en enero de 2023, el proceso de trasposición en España, como ha pasado en otros Estados miembros, se ha visto retrasado debido a complejidades legislativas y a la necesidad de adaptar las estructuras y normativas actuales.

La NIS2 amplía el alcance de la directiva original, que cubría principalmente operadores de servicios esenciales. Con la nueva directiva, sectores adicionales, como proveedores de servicios digitales y varias industrias estratégicas, deberán cumplir con mayores exigencias de ciberseguridad, lo que añade presión al proceso de adecuación legislativa.

Expertos consultados por Economist & Jurist indican que, aunque la directiva ya es vinculante, las empresas españolas aún no tienen un marco legislativo nacional claro que les permita adaptarse de manera concreta. No obstante, es fundamental que las organizaciones no esperen a la promulgación definitiva de la legislación para actuar. 

El mensaje de la NIS2 es claro: fortalecer la resiliencia cibernética de las infraestructuras críticas y los sectores esenciales a través de medidas proactivas.

Madurez en ciberataques

Carlos Sáiz, vicepresidente de ISMS ForumEspaña y socio de Ecix Group, destaca que “la madurez de la ciberseguridad en las empresas españolas es muy heterogénea. Hay mucha diferencia respecto a cultura, inversiones y complejidad entre las grandes entidades y las pymes”.

Al mismo tiempo, apunta que “los indicadores de ciberataques no paran de crecer año tras año y, en muchas ocasiones, los incidentes de seguridad ya no son causados en las infraestructuras o servicios de las grandes entidades, sino en la de sus proveedores, donde los sistemas de ciberseguridad no son tan robustos”.

Carlos Saiz recuerda que la norma ayudará a que las empresas y organizaciones maduren en ciberseguridad. (Imagen: Ecix Group)

Este experto indica que “con la llegada de NIS2 se pretende que exista un nivel de seguridad aceptable y común en entidades que presten servicios esenciales e importantes a la sociedad. Sin embargo, aún no tenemos una norma de transposición de la Directiva en España. Volvemos a llegar tarde en estos plazos”.

Sobre las obligaciones que va a generar NIS2, este jurista destaca que “contar con un marco de gestión de riesgos será fundamental para tener un sistema donde se analicen los riesgos de la entidad y se propongan las medidas de mitigación necesarias y proporcionales”.

Junto con ello, resalta que “la gestión de incidentes de ciberseguridad es una de las principales obligaciones. Será fundamental tener estructurado un plan de actuación para prevenir, detectar y actuar ante los incidentes de ciberseguridad (comunicación a clientes, medidas de mitigación, comunicación a autoridad de control, etc.)”.

Otro elemento que revela este abogado es la “gestión de riesgo de terceros, ya que es fundamental establecer un sistema de diligencia debida que permita conocer el nivel de seguridad y de cumplimiento de los proveedores y terceros con los que nuestra organización se vaya a relacionar”.

En cuanto a la adaptación de los despachos de abogados que generan datos de terceros, el vicepresidente de ISMS Forum destaca que “los despachos pueden manejar información sensible de entidades afectadas por NIS2 y posiblemente verán, en los próximos años, cómo se les empieza a exigir desde estas empresas que acrediten un nivel maduro de ciberseguridad y de cumplimiento”.

A su juicio, “en los próximos años veremos que tanto despachos como otro tipo de proveedores apuestan por implantar sistemas de gestión de riesgos y ciberseguridad, incluso certificándose en normas como ISO 27001, ENS, ISO 277001, SPET, etc.”.

Sobre la adaptación de las administraciones publicadas en esta directiva, recuerda que “efectivamente se espera una norma con un régimen sancionador importante, si bien está por ver cómo funcionará la asignación de competencias a las Autoridades de Control pertinentes en nuestro país”. 

“Considero que en los próximos años habrá que trabajar mucho no solo en implantar sistemas de ciberseguridad a nivel técnico, sino también en establecer un sistema de CyberCompliance, donde las organizaciones sepan qué normas de ciberseguridad les aplican, en qué infraestructuras o servicios, ante qué diferentes Autoridades de Control responden, etc.”, comenta.

En este sentido, pide que “imaginemos un supuesto de un incidente de ciberseguridad sobre un sistema de gestión de clientes de una gran compañía (un CRM). Seguramente tenga que responder ante la Agencia Española de Protección de Datos (si hay datos personales), la AESIA (si el sistema incluye IA), la Autoridad de NIS2 (si es un servicio esencial), etc. Tener claro este mapeo de obligaciones de ciberseguridad será fundamental para las organizaciones en los próximos años”.

Muchas obligaciones adicionales

María Vidal, socia de privacidad de FinReg 360, explica a Economist & Jurist que esa trasposición no ha llegado en plazo: “La NIS2 exige a los Estados miembros comunicar a la Comisión el régimen de sanciones establecido, a más tardar, el 17 de enero de 2025. Veremos si para esa fecha ya tenemos norma nacional con detalle de ese régimen sancionador”, comenta.

Esta experta recuerda que “en septiembre de este año, el Gobierno dio contestación escrita a una pregunta de otro grupo parlamentario sobre la fecha en la que estaba prevista la trasposición de esta directiva, contestando que se había creado un grupo de trabajo interministerial de trasposición de la Directiva NIS2 para poder terminar en plazo dicha tarea. Esta contestación es del 18 de septiembre, pero, viendo las fechas, la trasposición todavía no ha llegado”.

A su juicio, “la NIS2 sigue respetando la aplicación de sus obligaciones en materia de ciberseguridad a las entidades pertenecientes a sectores críticos, pero no se limita ya a grandes empresas, sino que abarca también a las medianas o pequeñas, siempre y cuando estén dentro del sector esencial o importante que marcan los anexos de la Directiva”.

Sobre la obligación de la norma, revela que “plantea una alta involucración de la alta dirección en la toma de decisiones en materia de ciberseguridad (aprobación de planes y formación específica para este colectivo), así como un marco robusto de seguridad de la información con sus políticas y procedimientos, y el análisis de riesgos”.

María Vidal señala que nuestro país deberá tener aprobado un régimen sancionador para enero de 2025. (Imagen: finReg 360)

Al mismo tiempo, esta trasposición creará “procedimientos para hacer frente a la gestión de incidentes o para garantizar la continuidad de las actividades (copias de seguridad, recuperación en caso de catástrofe y gestión de las crisis), así como procedimientos de seguridad de la cadena de suministro en los proveedores y subcontratistas”.

Otras obligaciones tienen que ver con la seguridad en la adquisición, desarrollo y mantenimiento de redes y de información; procedimientos en gestión de vulnerabilidades y para evaluar las medidas para la gestión de riesgos en ciberseguridad.

Por último, también se refiere a prácticas de concienciación y formación en ciberseguridad, prácticas sobre utilización de criptografía y cifrado, y políticas de seguridad TIC en recursos humanos.

Sobre los despachos de abogados y la NIS2, Vidal nos aclara que “los bufetes no están dentro del sector de actividad sujeto a NIS2; si bien, como son proveedores de muchas de estas empresas calificadas como esenciales o importantes que sí están sujetas, estas exigirán a los despachos que cumplan con determinadas obligaciones en la materia al entrar dentro de su perímetro del tratamiento de la información”.

“En general, los despachos de abogados están muy sensibilizados con estas obligaciones, y muchas de estas obligaciones ya se exigen dentro de los procedimientos de homologación de estas entidades. Por ejemplo, en el caso de los bancos, las obligaciones que exigen a sus proveedores van en esta línea desde hace mucho tiempo, por lo que no veo complicada su adaptación”, comenta.

En cuanto a las obligaciones que tendrán que cumplir las administraciones públicas, recuerda que “tanto estas como las empresas privadas que prestan servicios a estas administraciones ya tienen que cumplir con el Esquema Nacional de Seguridad, que impone unos altos estándares en la materia. Las obligaciones de NIS2, aunque son muy precisas, no tienen el detalle del Esquema o el detalle que también recoge DORA (para el sector financiero)”.

“En el caso de las sanciones, la Directiva NIS2 establece que serán los Estados miembros los que establezcan el régimen de sanciones, y, como te he comentado, en España todavía no se ha regulado. Si bien la norma europea sí recoge la obligación de que estos Estados, cuando establezcan su régimen de sanciones, garanticen que:

• Las entidades esenciales sean sancionadas, dependiendo de la infracción, con multas administrativas de un máximo de, al menos, 10 000 000 EUR o de un máximo de, al menos, el 2 % del volumen de negocios anual total a nivel mundial.
• Las entidades importantes que incumplan determinadas obligaciones sean sancionadas con multas administrativas de un máximo de, al menos, 7 000 000 EUR o de un máximo de, al menos, el 1,4 % del volumen de negocios anual total a nivel mundial de la empresa».

Más requisitos en ciberseguridad

Manuel Asenjo comenta que la NIS2 establece requisitos más estrictos para la gestión de riesgos y la notificación de incidentes. (Imagen: Broseta)

Por su parte, Manuel Asenjo, director de IT en Broseta, destaca, al igual que otros juristas, que la trasposición de la Directiva NIS2 en España aún no se ha completado, aunque el plazo para hacerlo venció el 17 de octubre de 2024. Esto significa que, a partir del 18 de octubre de 2024, las disposiciones de la directiva deberían ser aplicables en el país.

“En principio, podemos esperar algún tipo de sanción por no llegar a tiempo. La implementación está siendo un desafío debido a la falta de claridad y los retrasos en la adaptación de varias directivas europeas al ordenamiento jurídico español”, comenta.

Sobre la aportación de esta directiva a las políticas de ciberseguridad de las empresas, Asenjo subraya que “la Directiva NIS2 amplía el alcance de los sectores cubiertos y establece requisitos más estrictos para la gestión de riesgos y la notificación de incidentes”.

También indica que “las empresas deberán implementar medidas avanzadas de seguridad, como protección contra ataques DDoS, actualizaciones regulares de software y seguridad en la cadena de suministro”.

“Además, se exige una mayor formación del personal en ciberseguridad y una integración más profunda de esta en la cultura empresarial. Como ejemplo, los directivos pasan a tener responsabilidad directa, con penas de inhabilitación temporal en el cargo, y para la compañía, las sanciones pueden llegar a 10 millones de euros o el 2 % del volumen de negocios anual global si son esenciales, y hasta 7 millones de euros o el 1,4 % del volumen de negocios para el resto”, destaca.

En cuanto a la adaptación de los despachos de abogados a esta normativa, este experto revela que “los bufetes manejamos datos sensibles, por lo que debemos reforzar nuestras medidas de seguridad para cumplir con NIS2. Esto implica adoptar políticas robustas de gestión de riesgos y asegurar que todo el personal esté adecuadamente formado en ciberseguridad, independientemente de si, por las características del negocio, estamos sujetos a la norma o no. Nuestros clientes nos lo van a exigir”.

Respecto a las administraciones públicas y su encaje normativo, Manuel Asenjo señala que “las administraciones públicas también están incluidas bajo NIS2 y deberán implementar medidas para garantizar la continuidad del negocio y gestionar la ciberseguridad durante todo el ciclo de vida de sus sistemas”.

“Esto incluye evaluaciones periódicas de riesgos y políticas internas robustas. La normativa representa una oportunidad para mejorar su resiliencia ante amenazas crecientes, teniendo en cuenta que ya deben estar cumpliendo el Esquema Nacional de Seguridad”, comenta.