En la Unión Europea ha reforzado su marco normativo en ciberseguridad con la introducción de la Directiva NIS2, que amplía y actualiza las medidas de seguridad para las redes y sistemas de información. Esta directiva, que entró en vigor en enero de 2023, debía ser transpuesta por los Estados miembros a sus legislaciones nacionales antes del 17 de octubre de 2024. En España, aunque el plazo de transposición se ha superado, el Gobierno aprobó el 14 de enero de 2025 el anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad, que busca incorporar las disposiciones de NIS2 al marco legal español.
¿A qué empresas afecta?
La Directiva NIS2 amplía su ámbito de aplicación a entidades públicas y privadas de 18 sectores considerados críticos. Entre ellos se incluyen:
Energía
Transporte
Banca y mercados financieros
Sanidad
Suministro de agua
Infraestructuras digitales
Servicios tecnológicos
Administración pública
Industria nuclear
Además, sectores como servicios postales y de mensajería, gestión de residuos, fabricación, producción y distribución de productos químicos, producción y distribución de alimentos, proveedores de servicios digitales, investigación científica y seguridad privada también están contemplados.
Obligaciones para las empresas
Las entidades afectadas deberán:
Realizar evaluaciones individualizadas de riesgos.
Implementar medidas para garantizar y mejorar la seguridad de sus redes y sistemas de información.
Notificar incidentes significativos que afecten su operativa o prestación de servicios.
Además, se establece la figura del responsable de la seguridad de la información, encargado de coordinar y supervisar las políticas de ciberseguridad dentro de la organización.
Fecha de entrada en vigor
Aunque la Directiva NIS2 ya está en vigor a nivel europeo, su aplicación efectiva en España dependerá de la aprobación y publicación de la Ley de Coordinación y Gobernanza de la Ciberseguridad. Dado que el anteproyecto fue aprobado en enero de 2025, se espera que la ley entre en vigor en los próximos meses, una vez completado el proceso legislativo.
Sanciones por incumplimiento
El régimen sancionador previsto es severo, con multas que pueden alcanzar hasta 10 millones de euros o el 2% de la facturación global de la empresa, dependiendo de la gravedad de la infracción.
Conclusión
Es crucial que las empresas evalúen su situación actual en materia de ciberseguridad y adopten las medidas necesarias para cumplir con las nuevas obligaciones legales. La implementación de la Directiva NIS2 busca fortalecer la resiliencia cibernética en sectores clave, garantizando un elevado nivel de seguridad en toda la Unión Europea.
¿Te preocupa cómo puede afectar a tu organización? En Faronics España podemos ayudarte a implementar estrategias avanzadas de ciberseguridad para detectar y prevenir amenazas. ¡Contáctanos y prepárate para el futuro de la seguridad digital!. Haz clic aquí para más información.