Descubre cómo la Directiva NIS2 afecta a empresas y administraciones en España, con medidas de ciberseguridad, herramientas recomendadas y comentarios de expertos sobre los desafíos y soluciones en ciber resiliencia.A los bufetes de abogados se les va a exigir cierto nivel de madurez y cumplimiento en materia de ciberseguridad
a Directiva NIS2, diseñada para elevar los estándares de ciberseguridad en Europa, ha puesto sobre la mesa la necesidad urgente de que las infraestructuras críticas y sectores esenciales refuercen sus sistemas de protección y gestión de riesgos. Este marco regulador ha sido un avance decisivo desde la primera Directiva NIS de 2016, al expandir su alcance a nuevos sectores y exigir medidas más detalladas en la gestión de ciber riesgos y en la notificación de incidentes de seguridad. España, sin embargo, ha enfrentado retos importantes para incorporar la NIS2 en su legislación nacional, generando incertidumbre en un entorno que ya lidia con ataques cibernéticos cada vez más sofisticados y frecuentes.
El plazo límite de la Unión Europea para la trasposición de la Directiva NIS2 en los Estados miembros venció el 17 de octubre de 2024. Sin embargo, España, junto a otros países, no cumplió con esta fecha, dejando a muchas organizaciones sin un marco claro para ajustarse a las nuevas exigencias. Empresarios y abogados del sector TIC han denunciado la falta de transposición, destacando la urgencia de contar con un marco que permita a las organizaciones operar bajo parámetros comunes de ciberseguridad. La ausencia de una normativa nacional clara y detallada representa un obstáculo para que las empresas y organizaciones se preparen adecuadamente, pues aún no existe en España una regulación que permita cumplir con los principios de NIS2 de manera efectiva y controlada.
La Directiva NIS2 tiene un objetivo claro: fortalecer la ciber resiliencia de las infraestructuras críticas y sectores estratégicos, incluyendo nuevos sectores como proveedores de servicios digitales, que anteriormente no estaban regulados por NIS. La normativa introduce también un cambio significativo al requerir que las empresas medianas y grandes incluidas en sectores críticos o importantes se adhieran a estos estándares de ciberseguridad, eliminando así la exclusividad para grandes corporaciones y ampliando el compromiso de protección a empresas de diversos tamaños. Estudios recientes en la Unión Europea indican que las empresas españolas han experimentado un aumento del 33 % en ciberataques desde 2022, lo que pone en evidencia la urgencia de adoptar un marco robusto y operativo de ciberseguridad que permita reaccionar rápidamente y minimizar el impacto de estos incidentes.
Uno de los puntos clave de la NIS2 es el fortalecimiento de la gestión de riesgos, que ahora exige que las entidades implementen sistemas de análisis y mitigación específicos. Esto implica un plan estructurado que abarque prevención, detección, respuesta y recuperación ante incidentes cibernéticos, desde la aplicación de controles básicos hasta la adopción de prácticas avanzadas como la segmentación de red, cifrado de datos sensibles y autenticación multifactor. Además, es fundamental que las organizaciones fortalezcan la seguridad en la gestión de sus proveedores, ya que la normativa subraya la importancia de una diligencia debida adecuada para asegurar que los proveedores y socios cumplan también con estándares de ciberseguridad que no comprometan la integridad de las operaciones.
La implementación de sistemas de seguridad más avanzados es también esencial para el cumplimiento de la NIS2. Herramientas como los firewalls de última generación, las tecnologías de detección y respuesta extendida (XDR) y el análisis de amenazas basado en inteligencia artificial permiten a las organizaciones monitorear y detectar anomalías en tiempo real, reducir los tiempos de respuesta y garantizar una recuperación rápida de datos críticos. En este contexto, uno de los desafíos radica en la adopción de tecnologías que puedan escalar de acuerdo con el tamaño y los recursos de cada empresa, de modo que incluso las pymes puedan cumplir con los requisitos de NIS2. La introducción de políticas de ciber resiliencia en todos los niveles de la organización, incluyendo la participación activa de la alta dirección en la toma de decisiones y la definición de planes de respuesta ante crisis, es un cambio radical que busca consolidar una cultura de seguridad en todos los niveles de la empresa.
La obligación de notificar incidentes de seguridad en un plazo determinado es otra de las demandas de la NIS2, que exige que cualquier incidente significativo se reporte a las autoridades pertinentes en un plazo específico. En España, la falta de una autoridad de control definida ha sido un obstáculo para la implementación de esta medida. Sin embargo, se espera que, una vez traspuesta, la normativa incluya una agencia de ciberseguridad que centralice la recepción de estos informes y que coordine las respuestas en casos de incidentes importantes. Esto no solo facilitará la recuperación rápida de los datos afectados, sino que también ayudará a reducir los riesgos de impacto económico y de reputación en las organizaciones involucradas.
El retraso en la implementación de NIS2 en España también plantea cuestiones sobre la adaptación de las administraciones públicas. Al igual que las empresas, los organismos públicos deben adoptar medidas para proteger la información sensible y garantizar la continuidad de sus servicios en caso de ataques cibernéticos. La ANTPJI (Asociación Nacional de Tasadores y Peritos Judiciales Informáticos) ha subrayado la importancia de que las administraciones y las empresas cuenten con un sistema de gestión de incidentes de ciberseguridad, en el que se incluya un plan de actuación que considere desde la comunicación a clientes hasta la toma de medidas de mitigación de los efectos del ataque. Esto es clave, especialmente considerando que las administraciones son blanco habitual de ataques en España, donde los intentos de acceder a datos de ciudadanos han aumentado más de un 20 % en el último año.
Manuel Asenjo, perito informático de la ANTPJI, enfatiza que la Directiva NIS2 plantea un avance significativo en la forma en que las organizaciones deben abordar la ciberseguridad, pero advierte sobre la necesidad de una cultura de ciberseguridad robusta que integre a toda la empresa. Según Asenjo, “la norma no solo obliga a proteger las infraestructuras internas, sino a supervisar y gestionar la seguridad de toda la cadena de suministro, especialmente la de terceros con acceso a datos críticos”. Esto supone un reto particular para el sector financiero y para aquellas empresas que manejan grandes cantidades de información sensible, ya que deben vigilar y asegurar los niveles de ciberseguridad de sus proveedores para evitar filtraciones de datos o interrupciones en el servicio.
La NIS2 establece también un régimen sancionador que exige a los Estados miembros establecer un sistema de multas para quienes no cumplan con la normativa. Las sanciones incluyen multas de hasta 10 millones de euros o el 2 % del volumen de negocios anual de la empresa para las entidades esenciales, y hasta 7 millones de euros o el 1,4 % del volumen de negocios anual para las entidades importantes. España, en este sentido, aún debe definir el alcance y las características de este régimen sancionador en su normativa nacional, lo cual añade presión a la urgencia de implementar la transposición en los próximos meses.
El mercado de tecnologías de ciberseguridad ha respondido a esta demanda con soluciones avanzadas que facilitan el cumplimiento de NIS2, entre ellas sistemas de respuesta automatizada de incidentes (SOAR), monitoreo de redes basadas en IA, y criptografía avanzada para el almacenamiento de datos críticos. Un ejemplo destacado es el uso de herramientas de gestión de riesgos de terceros, que permite a las empresas evaluar el nivel de seguridad de sus proveedores y garantizar que los datos compartidos estén protegidos de manera efectiva. Estas soluciones no solo mejoran la seguridad interna, sino que también ayudan a cumplir con los requisitos de diligencia debida establecidos por NIS2.
A pesar de los desafíos, la NIS2 representa una oportunidad para que las empresas y organismos en España mejoren su resiliencia ante un entorno de amenazas cada vez más complejo. La adopción de tecnologías de protección, detección y respuesta, unidas a una cultura de ciberseguridad, permitirá a las organizaciones no solo cumplir con las exigencias de la directiva, sino también proteger mejor sus operaciones y los datos de sus clientes. Aunque la falta de una normativa nacional clara dificulta el proceso, los expertos insisten en que las empresas no deben esperar para actuar. La implementación de prácticas proactivas de ciberseguridad será crucial para prevenir y responder a los incidentes de manera eficaz, reduciendo los impactos y asegurando la continuidad operativa en un entorno cada vez más digitalizado.