La Comisión Europea tiene bajo la lupa a ocho países que aún no han incorporado a sus leyes nacionales la directiva NIS2, el gran marco europeo que refuerza la ciberseguridad en sectores críticos. España está en la lista junto a Bulgaria, Francia, Irlanda, Luxemburgo, Países Bajos, Portugal y Suecia.
El plazo para cumplir venció el 17 de octubre de 2024 y el retraso puede derivar en un procedimiento de infracción que acabe ante el Tribunal de Justicia de la UE. Bruselas ya envió a España un aviso formal en mayo, instando a completar la transposición cuanto antes. El Ministerio para la Transformación Digital presentó en enero el Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad, que sigue pendiente de aprobación en el Parlamento.
Más sectores y más empresas afectadas
La NIS2, en vigor desde 2022, endurece las obligaciones de ciberseguridad y amplía su alcance. No solo cubre a sectores como energía, transporte, sanidad, banca o agua, sino que también incorpora nuevas áreas como gestión de residuos, espacio o alimentación. Además, introduce la llamada regla de tamaño: cualquier empresa mediana o grande (50 empleados o más, o al menos 10 millones de euros de facturación) que opere en estos sectores deberá cumplirla. También entrarán en el radar algunas empresas pequeñas con un papel especialmente crítico.
Aunque la nueva ley española no se haya aprobado todavía, las compañías afectadas ya deben cumplir con la normativa vigente: el RDL 12/2018 y el RD 43/2021 para operadores esenciales y proveedores digitales, además de las obligaciones para infraestructuras críticas.
Obligaciones más exigentes y responsabilidad en la cúpula
La directiva obliga a reforzar la seguridad en toda la organización: gestionar riesgos y vulnerabilidades, controlar el acceso a sistemas, monitorizar redes, garantizar la continuidad del negocio y proteger la cadena de suministro, entre otras medidas.
También se endurecen los plazos para notificar incidentes: aviso inicial en 24 horas, informe detallado en 72 horas y reporte final en un mes. Y por primera vez, la responsabilidad recae de forma clara en los órganos de dirección, que tendrán que aprobar y supervisar las políticas de ciberseguridad y formarse para entender los riesgos. Las multas no son menores: hasta 10 millones de euros o el 2% de la facturación global para las empresas esenciales, y hasta 7 millones o el 1,4% para las importantes.
Un rompecabezas normativo para algunos sectores
En áreas como la banca, el calendario regulatorio se complica: desde enero de 2025 ya es obligatorio el Reglamento DORA, que añade sus propias exigencias en materia de gestión de riesgos, pruebas de resiliencia y comunicación de incidentes.
La falta de una transposición de NIS2 en España genera cierta incertidumbre, pero los expertos insisten en que las empresas no deberían esperar. Conviene empezar ya a identificar si están dentro del alcance, ajustar procesos internos para cumplir los plazos de notificación, revisar contratos con proveedores y preparar a los directivos para sus nuevas responsabilidades.
Lo que viene
La Comisión Europea presentará en diciembre un paquete de medidas para simplificar algunas obligaciones, especialmente en el caso de las pymes. En paralelo, se espera que España acelere la tramitación de su ley para evitar sanciones.
Hasta entonces, las organizaciones harían bien en actuar como si la norma ya estuviera en vigor. Cuando llegue, no habrá tiempo para improvisar.
