La actualidad en lo que respecta a la protección de datos no para. Por un lado, la Agencia Española de Protección de Datos (o “AEPD”) ha tenido últimamente mucho trabajo en varios frentes: multas a diversas organizaciones e instituciones por una mala praxis con la política de privacidad y redacción de análisis técnicos con relación al Blockchain y el derecho de supresión. Por otro lado, está la ciberseguridad y los retrasos a la trasposición de la Directiva “NIS 2” en España.
Nos centraremos en lo último: la normativa española de ciberseguridad se retrasa, pese a que la Directiva ((UE) 2022/2555) está en vigor desde el 16 de enero de 2023. Esta directiva, conocida como “NIS 2”, representa un avance en la política de ciberseguridad que hay actualmente en la Unión Europea. Y su objetivo no es otro que el de fortalecer el marco comunitario de ciberseguridad.
Las Directivas europeas deben transponerse al derecho nacional y hace casi un mes (exactamente el 17 de octubre) terminó el límite para que España traspusiese en su legislación nacional la «NIS 2”. Así pues, las empresas españolas aún no tienen un marco legislativo nacional que permita adaptarse de forma más concreta.
¿Qué representa esta nueva directiva?
El cambio más importante que quiere introducir la nueva normativa es que quiere homogeneizar las obligaciones en materia de ciberseguridad, para que no abarque solo a grandes empresas, sino que también lo haga para pymes y microempresas que ofrezcan sus servicios en la infraestructura digital, siempre que estén en los sectores y ámbito de aplicación indicados en la Directiva. Pero, además de esto, presenta también otras novedades a destacar:
- Entidades sujetas: Las entidades se clasificarán en dos categorías: esenciales e importantes. Esta separación se hará en base a su criticidad y del impacto que podrían tener en la seguridad nacional y comunitaria. Las entidades sujetas a “NIS 2”, además, deben informar de inmediato a las autoridades pertinentes sobre cualquier incidente con un “impacto significativo”. En el caso de que uno de los servicios afectados sea esencial, se deberá comunicar a los usuarios.
- Más sectores involucrados: La normativa diferencia entre dos categorías de sectores: los sectores de alta criticidad (Anexo I de la Directiva) y otros sectores críticos (Anexo II).
Nuevas medidas y nuevas sanciones
La normativa establece un conjunto de medidas técnicas, operativas y organizativas que deben implementarse para una mejor gestión de los riesgos de ciberseguridad. Entre estas medidas se incluyen:
- Políticas de seguridad.
- Análisis de riesgos.
- Gestión de incidentes.
- Políticas de evaluación periódica.
- Prácticas de “ciberhigiene”.
- Notificación de incidentes.
La Directiva “NIS 2” también introduce un régimen de sanciones más severo con el objetivo de garantizar el cumplimiento normativo. Las entidades esenciales pueden enfrentarse a multas de hasta 10 millones de euros o el 2% de su volumen de negocios anual. Para las entidades importantes, por su parte, las sanciones pueden llegar a los 7 millones de euros o al 1,4 % del volumen de negocios anual.
Conclusión
“NIS 2” supone un cambio significativo en la ciberseguridad y la resiliencia de las entidades frente a las ciberamenazas. La normativa impone requisitos más estrictos y fomenta un enfoque proactivo en la prevención de incidentes. Las organizaciones y entidades que logren adaptarse a este marco protegerán mejor sus activos y datos, además de contribuir a fortalecer el ecosistema digital europeo en su conjunto.
