Novedades Directiva NIS2

El borrador de ley en España entra en fase de aprobación

El pasado 14 de enero, el Consejo de Ministros del Gobierno de España aprobó el anteproyecto de ley de Coordinación y Gobernanza de la Ciberseguridad, con el objetivo de transponer la Directiva NIS2 de la UE al ordenamiento jurídico español. Aunque aún quedan algunos pasos para su aprobación definitiva en el Parlamento y su publicación en el BOE, es fundamental que las organizaciones empiecen a prepararse. A continuación, te compartimos las principales novedades que debes conocer.

1. Creación del Centro Nacional de Ciberseguridad (CNC)

Uno de los cambios más relevantes es la creación del Centro Nacional de Ciberseguridad, que será la máxima autoridad nacional al respecto. Este centro asumirá la dirección y coordinación de todas las actividades relacionadas con la ciberseguridad en España, actuando como:

• Punto único de contacto con la UE, representando a las autoridades nacionales.

• Responsable y portavoz de definir estrategias y coordinar la respuesta ante incidentes.

2. Clasificación de entidades: esenciales e importantes

El anteproyecto mantiene la distinción establecida en NIS2. En cuanto a las entidades bajo alcance, no hay cambios respecto a la directiva NIS2, detallándose los tipos:

• Entidades esenciales: sujetas a una supervisión proactiva con requisitos de cumplimiento más estrictos. (Anexo 1).

• Entidades importantes: bajo una supervisión reactiva, aplicable en caso de evidencias de incumplimiento. (Anexo 2).

Si tu organización pertenece a alguno de estos grupos, desde SNGULAR podemos ayudarte a definir tu plan de adaptación a la NIS2.

3. Nueva plataforma de notificación de incidentes

Las entidades afectadas deberán designar un Responsable de Seguridad de la Información, quien será el contacto directo con las autoridades y el encargado de notificar incidentes significativos mediante la nueva Plataforma Nacional de Notificación y Seguimiento de Ciberincidentes. Se prevé que esta plataforma estará basada en la herramienta LUCIA (Listado Unificado de Coordinación de Incidentes y Amenazas).

Respecto a este punto de notificación de incidentes, hay que destacar que el anteproyecto de ley establece un marco detallado al respecto, priorizando la cooperación con CSIRT nacionales, como el INCIBE-CERT y el CCN-CERT.

4. Certificación de seguridad

El anteproyecto de ley obliga a las entidades esenciales a realizar evaluaciones periódicas y obtener certificaciones de seguridad validándose la certificación voluntaria del Perfil de Cumplimiento Específico del ENS (publicado en la guía CCN-STIC 892 del Centro Criptológico Nacional) como evidencia de cumplimiento para entidades esenciales.  

5. Sanciones y refuerzo de las autoridades de control

Aunque el régimen sancionador no ha cambiado respecto a la directiva NIS2, las autoridades de control contarán con mayores capacidades para garantizar el cumplimiento normativo. Esto incluye auditorías más estrictas y un seguimiento más riguroso de las obligaciones de las entidades afectadas.

6. Cooperación internacional

Se refuerza la cooperación nacional e internacional, especialmente con redes europeas como la Red CSIRT y EU-CyCLONe para gestionar incidentes transfronterizos, fomentando el intercambio voluntario de información entre entidades para prevenir o mitigar incidentes.

7. Relación entre NIS2 y DORA: Principio de prevalencia

Como punto destacable, el anteproyecto configura el principio de prevalencia de DORA sobre NIS2, excluyendo a las entidades financieras, bajo el alcance de DORA, del régimen sancionador establecido en esta ley, aunque sí estarán sujetas al propio régimen sancionador de DORA, más duro aún que el de NIS2.

Prepárate para afrontar la NIS2

No dejes que los cambios te tomen por sorpresa. En SNGULAR, contamos con más de 10 años de experiencia en consultoría de Gestión de Riesgos y Cumplimiento (GRC), trabajando con empresas de diversos sectores.

Nuestros servicios:

1. Análisis GAP:

Realizamos una evaluación integral del cumplimiento normativo de tu empresa. Diseñamos un plan de acción personalizado que aborda los puntos críticos y asegura una alineación total con las regulaciones aplicables.

2. Servicio de adecuación:

No solo evaluamos; también te acompañamos en la implementación de las medidas necesarias. Ejecutamos el análisis GAP y guiamos a tu compañía en el proceso de remediación, garantizando el cumplimiento normativo de principio a fin.

¿Por dónde empezar?

Te ofrecemos un Test NIS2 gratuito y sin compromiso, diseñado para ayudarte a comprender el estado de cumplimiento de tu empresa.

Este test consiste en una llamada 1-a-1 con uno de nuestros expertos, donde evaluaremos de manera personalizada tu situación en relación con la Directiva NIS2 y te proporcionaremos recomendaciones claras y accionables.

¿Quieres hablar con un experto o realizar nuestro Test NIS2 gratuito?

Accede a nuestro webinar sobre NIS2

Además, puedes profundizar en el tema viendo nuestro último webinar sobre NIS2 y conocer todos los detalles.

Lee la noticia oficial de la aprobación del borrador de Ley en La Moncloa.