Guillem Alsina Gonzàlez
La ciberseguridad, y más aquella relacionada con las infraestructuras críticas que pueden sufrir un ciberataque tanto por parte de otros actores estatales, cómo no estatales, exige respuestas coordinadas ante un panorama de amenazas en constante evolución. Con este objetivo, el Consejo de Ministros ha iniciado la tramitación urgente del anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad, ajustado a la Directiva NIS2 aprobada en enero de 2023.
Esta medida actualiza la normativa de 2016 y busca reforzar la colaboración en toda la Unión Europea para responder a incidentes que puedan afectar a sistemas críticos en sectores como la energía, el transporte, la sanidad o las finanzas.
El nuevo marco jurídico, que sirve como transposición de la directiva europea a la legislación española, establece la protección de las infraestructuras de redes e información frente a ciberamenazas. A diferencia de la regulación de referencia NIST CSF 2.0, de aplicación voluntaria y flexible en cualquier región o sector, la NIS2 introduce obligaciones legales para organizaciones esenciales y prestadores de servicios digitales, con un alcance específico para los Estados miembros de la UE.
Durante los próximos meses, el texto legal podría aprobarse de forma definitiva para aplicarse en ámbitos de alta criticidad, como la banca, las telecomunicaciones o las infraestructuras digitales. Según datos recientes, se estima que la norma repercutirá en alrededor de 33.000 entidades de más de 50 empleados, lo que implica un cambio significativo en la forma de gestionar la seguridad de la información y la continuidad del negocio.
Ciberseguridad como prioridad corporativa
La directiva prevé identificar las entidades esenciales e importantes mediante un censo que deberán elaborar los Estados miembros antes del 17 de abril de este mismo año. Dicha lista, que abarca servicios relacionados con la energía, el agua o la industria nuclear, así como los sectores postal, químico o alimentario, se revisará al menos cada dos años. El objetivo es detectar debilidades que puedan favorecer ataques informáticos y, al mismo tiempo, proteger los sistemas y los datos sensibles de cada organización.
En consecuencia, la transposición de NIS2 incide en la necesidad de diseñar estrategias de seguridad alineadas con cada modelo de negocio. Esto incluye analizar el impacto y la gravedad de los posibles incidentes, así como adoptar políticas internas que permitan reforzar la ciberdefensa. Para ello, resultará determinante la capacidad de cada empresa de adaptar sus procedimientos y recursos a los requisitos específicos de la nueva normativa.
Planificación, cadena de suministro y responsabilidad directiva
La futura Ley pone el foco en la planificación de medidas adecuadas y proporcionales. Deberán abarcar todos los procesos de gestión de riesgos, respuesta y análisis de amenazas, además de la protección de activos y los planes de continuidad y contingencia. Contar con expertos en seguridad y con una cartera integral de soluciones incrementa la confianza digital de cada compañía, especialmente cuando esta debe pasar por auditorías y controles de cumplimiento.
Otra de las claves de la NIS2 es la gestión de los riesgos de la cadena de suministro, un aspecto cada vez más crítico debido al incremento de los ciberataques dirigidos a proveedores o socios tecnológicos. Los contratos con terceros tendrán que contemplar medidas de seguridad específicas y un seguimiento continuo de la resiliencia de los productos y servicios contratados. De esta forma, se intenta frenar el acceso no autorizado a redes corporativas y asegurar un control estricto de comportamientos potencialmente peligrosos.
La responsabilidad sobre la ciberseguridad también se eleva a la alta dirección de entidades esenciales e importantes. Quienes ocupen puestos ejecutivos estarán obligados a aprobar, supervisar y adquirir los conocimientos necesarios para implantar las medidas de defensa digital. Dichos cargos asumirán, además, la obligación de trasladar y reforzar la cultura de la ciberprotección a todos los empleados.
La Agencia de la Unión Europea para la Ciberseguridad (Enisa) indica que la implantación de NIS2 ha impulsado el gasto en medidas de seguridad, que representó el 9% de las inversiones de TI en 2023, llegando a 1,4 millones de euros en el conjunto de la UE.
Obligaciones de notificación y retos futuros
Finalmente, la nueva regulación establece la obligación de notificar incidentes significativos en plazos muy concretos. Las entidades disponen de 24 horas para lanzar una alerta temprana, especialmente si el suceso provoca grandes interrupciones operativas, pérdidas financieras considerables o afecta de forma directa a las personas.
Posteriormente, el límite para la notificación detallada es de 72 horas, y se exige un informe final al mes de haberse emitido el primero. Este protocolo se extiende incluso a amenazas o “cuasi incidentes” que no llegan a materializarse, con el fin de agilizar la respuesta y mejorar los mecanismos de protección.
La tramitación urgente de la ley en el Consejo de Ministros y la fecha clave de abril de 2025 subrayan la aceleración de los preparativos para cumplir con la Directiva NIS2. Con un entorno en el que las tácticas y técnicas de ataque se vuelven más complejas, empresas y organismos públicos afrontan el reto de integrar la ciberseguridad como pilar fundamental de su estrategia. Todo apunta a que la armonización normativa en la UE refuerce la capacidad de respuesta para prevenir y atajar amenazas que impactan directamente en la economía y en la prestación de servicios críticos.
