{"id":35574,"date":"2025-03-05T08:59:31","date_gmt":"2025-03-05T07:59:31","guid":{"rendered":"https:\/\/www.lksnext.com\/es\/?post_type=noticias_boletin&#038;p=35574"},"modified":"2025-03-05T09:48:06","modified_gmt":"2025-03-05T08:48:06","slug":"directiva-nis2-y-sus-implicaciones-legales-para-las-organizaciones","status":"publish","type":"noticias_boletin","link":"https:\/\/www.lksnext.com\/es\/noticias_boletin\/directiva-nis2-y-sus-implicaciones-legales-para-las-organizaciones\/","title":{"rendered":"Directiva NIS2 y sus implicaciones legales para las organizaciones"},"content":{"rendered":"<p><strong><u>Introducci\u00f3n<\/u><\/strong><\/p>\n<p>El aumento de las ciberamenazas, la sofisticaci\u00f3n de los ataques, y la posibilidad que ofrecen las tecnolog\u00edas m\u00e1s punteras a los ciberdelincuentes (como la Inteligencia Artificial), ha llevado a la Uni\u00f3n Europea a fortalecer su marco normativo en materia de ciberseguridad.<\/p>\n<p>En este contexto, el 22 de noviembre de 2022 se aprob\u00f3 formalmente la <em>Directiva (UE) 2022\/2555 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, relativa a las medidas destinadas a garantizar un elevado nivel com\u00fan de ciberseguridad en toda la Uni\u00f3n, por la que se modifican el Reglamento (UE) n\u00ba 910\/2014 y la Directiva (UE) 2018\/1972 y por la que se deroga la Directiva (UE) 2016\/1148 <\/em>(en adelante, \u201cDirectiva NIS2<a href=\"#_ftn1\" name=\"_ftnref1\">[1]<\/a>\u201d o \u201cNIS2\u201d, indistintamente).<\/p>\n<p>Entr\u00f3 en vigor el 16 de enero de 2023, obligando a los Estados Miembros a transponer la Directiva al derecho nacional con anterioridad al 17 de octubre de 2024 (en el caso de Espa\u00f1a, se ha aprobado un Anteproyecto de Ley, como m\u00e1s tarde se detallar\u00e1).<\/p>\n<p>La Directiva NIS2 busca establecer un nivel com\u00fan elevado de ciberseguridad en toda la Uni\u00f3n Europea, a trav\u00e9s de la protecci\u00f3n de determinados sectores, a trav\u00e9s de obligaciones centradas en la protecci\u00f3n de sectores cr\u00edticos y procesos estrat\u00e9gicos. NIS2 extiende su \u00e1mbito de aplicaci\u00f3n respecto a la Directiva NIS anterior, para proteger un mayor n\u00famero de entidades (consideradas esenciales e importantes), garantizar el correcto funcionamiento de la sociedad y para controlar tambi\u00e9n la cadena de suministros.<\/p>\n<p><strong><u>Entidades incluidas en el \u00e1mbito de aplicaci\u00f3n <\/u><\/strong><\/p>\n<p>El \u00e1mbito de aplicaci\u00f3n de la Directiva NIS2 se extiende, con car\u00e1cter general, a\u00a0medianas y grandes empresas<a href=\"#_ftn2\" name=\"_ftnref2\"><em><strong>[2]<\/strong><\/em><\/a>, ya sean p\u00fablicas o privadas, de sectores que se consideran cr\u00edticos para la econom\u00eda y la sociedad:<\/p>\n<ul>\n<li><strong>Sectores de alta criticidad<\/strong>: Energ\u00eda, Transporte, Banca y sectores financieros, Sector Sanitario, Agua, Infraestructura digital, Servicios TIC de empresa a empresa, Administraci\u00f3n P\u00fablica, Espacio.<\/li>\n<li><strong>Otros sectores cr\u00edticos<\/strong>: Servicios postales y mensajer\u00eda, Gesti\u00f3n de residuos, Mezclas qu\u00edmicas, Alimentos, Fabricaci\u00f3n, Proveedores de servicios digitales, Investigaci\u00f3n.<\/li>\n<\/ul>\n<p>Asimismo, se establecen unos supuestos en los que, con independencia del tama\u00f1o de la empresa, la Directiva es aplicable.<\/p>\n<p>En este sentido, NIS2 distingue entre <strong>(A) entidades esenciales y (B) entidades importantes: <\/strong><\/p>\n<p>1. Son <strong>entidades esenciales<\/strong>:<\/p>\n<ul>\n<li>Empresas grandes de los sectores de alta criticidad;<\/li>\n<li>Con independencia de su tama\u00f1o, los prestadores cualificados de servicios de confianza y registros de nombres de dominio de primer nivel y los proveedores de servicios de DNS<\/li>\n<li>Medianas empresas proveedoras de redes p\u00fablicas de comunicaciones electr\u00f3nicas o de servicios de comunicaciones electr\u00f3nicas disponibles para el p\u00fablico;<\/li>\n<li>Con independencia de su tama\u00f1o, entidades identificadas como cr\u00edticas con arreglo a la Directiva (UE) 2022\/2557 relativa a la resiliencia de las entidades cr\u00edticas que ha de trasponerse a la legislaci\u00f3n nacional en las mismas fechas que la NIS2.<\/li>\n<\/ul>\n<p>2. Son <strong>entidades importantes<\/strong> todas aquellas que, estando incluidas en los sectores cr\u00edticos, no puedan considerarse entidades esenciales.<\/p>\n<p style=\"padding-left: 40px;\">En cualquier caso, la organizaci\u00f3n debe llevar a cabo un an\u00e1lisis jur\u00eddico de aplicabilidad, a fin de determinar si entra dentro del \u00e1mbito de aplicaci\u00f3n de la Directiva, y si, por tanto, debe cumplir con las obligaciones que en ella se detallan.<\/p>\n<p><strong><u>Principales obligaciones en virtud de la Directiva NIS2<\/u><\/strong><\/p>\n<p>La Directiva NIS2 obliga a las entidades incluidas en su \u00e1mbito de aplicaci\u00f3n a adoptar medidas t\u00e9cnicas, operativas y organizativas adecuadas y proporcionales para gestionar los riesgos de ciberseguridad a los que puedan enfrentarse.<\/p>\n<p>En este sentido, la Directiva NIS2 obliga a las entidades a integrar, como m\u00ednimo, las siguientes medidas:<\/p>\n<ul>\n<li>Nombramiento de una persona responsable de la Seguridad de la Informaci\u00f3n (CISO), que cumpla con los requisitos de capacidad t\u00e9cnica y formaci\u00f3n.<\/li>\n<li>Elaboraci\u00f3n de pol\u00edticas de seguridad y an\u00e1lisis de riesgos de los sistemas de informaci\u00f3n: entre otros, contar con un marco de gobierno de la ciberseguridad; determinar los roles y responsabilidades en cuanto a la gesti\u00f3n de la ciberseguridad dentro de la organizaci\u00f3n; establecer una postura corporativa en cuanto a ciberseguridad, etc.<\/li>\n<li>Medidas en relaci\u00f3n con la gesti\u00f3n de incidentes de ciberseguridad y su notificaci\u00f3n a la autoridad competente (pautas para la detecci\u00f3n, notificaci\u00f3n y respuesta; planes y protocolos, etc.)<\/li>\n<li><strong>\u00a0<\/strong>Adopci\u00f3n de medidas dirigidas a garantizar la continuidad de la actividad empresarial en caso de un incidente, tales como elaboraci\u00f3n de un plan de contingencia, realizaci\u00f3n de simulacros de continuidad de negocio, etc.<\/li>\n<li>Medidas dirigidas a garantizar y evaluar la seguridad en la cadena de suministro y en las relaciones con proveedores.<\/li>\n<li>Pr\u00e1cticas b\u00e1sicas de ciberhigiene y formaci\u00f3n en ciberseguridad.<\/li>\n<li>Implantaci\u00f3n de procedimientos que garanticen la seguridad de los RRHH.<\/li>\n<\/ul>\n<p>Asimismo, la Directiva NIS2 establece que los \u00f3rganos de direcci\u00f3n de las entidades esenciales e importantes tienen la obligaci\u00f3n de supervisar y garantizar el cumplimiento de las medidas de gesti\u00f3n de riesgos de ciberseguridad.<\/p>\n<p>En particular, en virtud de la Directiva NIS2, los \u00f3rganos de direcci\u00f3n de las entidades esenciales e importantes deber\u00e1n:<\/p>\n<ul>\n<li>Aprobar la adecuaci\u00f3n de las medidas de gesti\u00f3n de riesgos de ciberseguridad adoptadas por la entidad.<\/li>\n<\/ul>\n<ul>\n<li>Supervisar la aplicaci\u00f3n de las medidas de gesti\u00f3n de los riesgos.<\/li>\n<\/ul>\n<ul>\n<li><strong>Responsabilizarse del incumplimiento.<\/strong> En concreto, la responsabilidad por incumplimiento de la alta direcci\u00f3n podr\u00eda tener consecuencias, incluyendo responsabilidad personal de los miembros del \u00f3rgano de direcci\u00f3n, inhabilitaciones temporales y multas administrativas para la organizaci\u00f3n, seg\u00fan lo previsto en la normativa de cada Estado Miembro.<\/li>\n<li>Formarse con el fin de adquirir suficientes conocimientos y habilidades para identificar riesgos y evaluar las pr\u00e1cticas de gesti\u00f3n de riesgos de ciberseguridad y su impacto en los servicios prestados por la entidad.<\/li>\n<li>Ofrecer una formaci\u00f3n similar a sus empleados de forma regular.<\/li>\n<\/ul>\n<p><strong><u>Transposici\u00f3n de NIS2 a trav\u00e9s de la Ley de Coordinaci\u00f3n y Gobernanza de la Ciberseguridad <\/u><\/strong><\/p>\n<p>En el caso de Espa\u00f1a, la Directiva NIS2 est\u00e1 en proceso de ser transpuesta, a trav\u00e9s de la Ley de Coordinaci\u00f3n y Gobernanza de la Ciberseguridad, que actualmente se encuentra en fase de Anteproyecto y que ser\u00e1 objeto de tramitaci\u00f3n por la v\u00eda de urgencia.<\/p>\n<p>Las obligaciones establecidas por el Anteproyecto coinciden con las dispuestas por la Directiva NIS2, pero introduce algunas novedades que han de tenerse en consideraci\u00f3n:<\/p>\n<ul>\n<li><strong>Acreditaci\u00f3n de la persona responsable de la Seguridad de la Informaci\u00f3n <\/strong><\/li>\n<\/ul>\n<p style=\"padding-left: 40px;\">Seg\u00fan el Anteproyecto, en las entidades esenciales, el responsable de la seguridad de la informaci\u00f3n (CISO), as\u00ed como la persona f\u00edsica representante en caso de ser un \u00f3rgano colegiado y la persona sustituta, independientemente de los requisitos de capacidad t\u00e9cnica y formaci\u00f3n, deber\u00e1n ser personal acreditado por el Ministerio del Interior.<\/p>\n<ul>\n<li><strong>Cumplimiento de la Directiva NIS2 a trav\u00e9s de la certificaci\u00f3n en categor\u00eda alta en el ENS <\/strong><\/li>\n<\/ul>\n<p style=\"padding-left: 40px;\">Conforme al Anteproyecto el Perfil de Cumplimiento Espec\u00edfico del Esquema Nacional de Seguridad (en adelante, \u201cENS\u201d) se configura como un mecanismo v\u00e1lido para acreditar el cumplimiento de las medidas de gesti\u00f3n de riesgos de ciberseguridad exigidas por NIS2. En particular, para aquellas entidades esenciales e importantes que est\u00e9n sujetas a las disposiciones del Real Decreto 311\/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad, la aplicaci\u00f3n de dicho perfil ser\u00e1 suficiente para demostrar la adecuaci\u00f3n a los requisitos de ciberseguridad establecidos en la transposici\u00f3n de la Directiva NIS2.<\/p>\n<p style=\"padding-left: 40px;\">Asimismo, esta posibilidad se extiende a aquellas entidades no obligadas por el ENS, siempre que opten voluntariamente por someterse a una evaluaci\u00f3n satisfactoria conforme a su Perfil de Cumplimiento Espec\u00edfico (certificaci\u00f3n en la categor\u00eda alta del ENS). De este modo, el Anteproyecto introduce un criterio de equivalencia normativa, permitiendo que un marco ya consolidado en el ordenamiento jur\u00eddico (ENS) sirva de referencia para la armonizaci\u00f3n con los est\u00e1ndares europeos en materia de ciberseguridad establecidos en NIS2.<\/p>\n<ul>\n<li><strong>Acreditaci\u00f3n de cumplimiento, en funci\u00f3n del car\u00e1cter (esencial o importante) de la entidad <\/strong><\/li>\n<\/ul>\n<p style=\"padding-left: 40px;\">El Anteproyecto de la Ley de Coordinaci\u00f3n y Gobernanza de la Ciberseguridad establece que <em>las entidades esenciales, evidenciar\u00e1n el cumplimiento mediante la obtenci\u00f3n y mantenimiento de una certificaci\u00f3n de conformidad acreditativa,<\/em> y que <em>las entidades importantes podr\u00e1n optar entre la antedicha certificaci\u00f3n o realizar una autoevaluaci\u00f3n de la postura de seguridad.<\/em><\/p>\n<p style=\"padding-left: 40px;\">En este sentido, seg\u00fan el texto del Anteproyecto, la norma entrar\u00e1 en vigor al d\u00eda siguiente de su publicaci\u00f3n en el Bolet\u00edn Oficial del Estado (en adelante, \u201cBOE\u201d), por lo que desde ese momento resultar\u00e1 de aplicaci\u00f3n.<\/p>\n<p>Por lo tanto:<\/p>\n<ul>\n<li>Desde la entrada en vigor de la norma, las entidades esenciales e importantes deber\u00e1n notificar su condici\u00f3n de tal a la autoridad de control competente dentro del plazo m\u00e1ximo de tres meses.<\/li>\n<\/ul>\n<ul>\n<li>Las entidades importantes deber\u00e1n acreditar el cumplimiento de las obligaciones contenidas en la normativa a trav\u00e9s de una autoevaluaci\u00f3n, lo que implica realizar un an\u00e1lisis jur\u00eddico estructurado, en el que se justifique la manera en que se cumple con la normativa. La autoevaluaci\u00f3n deber\u00e1 abarcar aspectos t\u00e9cnicos (medidas de seguridad adoptadas, etc.) y legales.<\/li>\n<\/ul>\n<p>En caso de las entidades esenciales, el cumplimiento deber\u00e1 ser acreditado a trav\u00e9s de una certificaci\u00f3n de conformidad.<\/p>\n<p><strong><u>Conclusiones<\/u><\/strong><\/p>\n<p>La Directiva NIS2 representa un esfuerzo significativo para establecer un nivel com\u00fan elevado de ciberseguridad en la Uni\u00f3n Europea, ampliando su \u00e1mbito de aplicaci\u00f3n respecto a la Directiva NIS para incluir un mayor n\u00famero de sectores y entidades esenciales e importantes.<\/p>\n<p>A continuaci\u00f3n, se resumen las tres principales ideas del art\u00edculo:<\/p>\n<p><strong>(I) Ampliaci\u00f3n del \u00e1mbito de aplicaci\u00f3n.<\/strong><\/p>\n<p>NIS2 extiende su alcance a medianas y grandes empresas, de los sectores identificados en los Anexos I y II de la Directiva, e impone obligaciones espec\u00edficas para proteger sectores considerados cr\u00edticos y procesos estrat\u00e9gicos.<\/p>\n<p><strong>(II) Obligaciones para entidades consideradas <em>esenciales<\/em> e <em>importantes<\/em>.<\/strong><\/p>\n<p>La Directiva impone medidas t\u00e9cnicas, operativas y organizativas obligatorias para gestionar los riesgos de ciberseguridad. Estos incluyen, entre otros, la designaci\u00f3n de un responsable de seguridad de la informaci\u00f3n (CISO), la elaboraci\u00f3n de pol\u00edticas de seguridad, y la gesti\u00f3n de incidentes, entre otros. Adem\u00e1s, los \u00f3rganos de direcci\u00f3n deben supervisar y garantizar el cumplimiento de estas medidas, lo que subraya la responsabilidad de la alta direcci\u00f3n en la ciberseguridad.<\/p>\n<p><strong>(III) Transposici\u00f3n de la normativa<\/strong><\/p>\n<p>En el caso de Espa\u00f1a, la transposici\u00f3n de NIS2 a trav\u00e9s de la Ley de Coordinaci\u00f3n y Gobernanza de la Ciberseguridad introduce algunas especificidades a tener en consideraci\u00f3n, como la acreditaci\u00f3n del CISO por el Ministerio del Interior en entidades esenciales y la posibilidad de la certificaci\u00f3n en la categor\u00eda alta del Esquema Nacional de Seguridad (ENS) para demostrar el cumplimiento de NIS2.<\/p>\n<p>A pesar de que NIS2 represente un avance significativo en materia de ciberseguridad, existen determinados extremos de la norma que son cuestionables, como, por ejemplo, la exenci\u00f3n a los \u00f3rganos de direcci\u00f3n de las entidades esenciales e importantes del Sector P\u00fablico de la responsabilidad por incumplimiento que s\u00ed aplica a los miembros de los \u00f3rganos de direcci\u00f3n de las entidades esenciales e importantes del sector privado.<\/p>\n<p><strong><u>\u00a0<\/u><\/strong><\/p>\n<p><a href=\"#_ftnref1\" name=\"_ftn1\">[1]<\/a> <em>Llamada as\u00ed por sus siglas en ingl\u00e9s: Network and Information Security<\/em><\/p>\n<p><a href=\"#_ftnref2\" name=\"_ftn2\">[2]<\/a><em>Recomendaci\u00f3n 2003\/361\/CE, sobre la definici\u00f3n de microempresas, peque\u00f1as y medianas empresas:<\/em> <strong><em>Microempresa<\/em><\/strong><strong>:<\/strong>\u00a0menos de 10 personas; volumen de negocios anual o balance general anual no supera los 2 millones. <strong><em>Peque\u00f1a empresa<\/em>:<\/strong>\u00a0menos de 50 personas; volumen de negocios anual o balance general anual no supera los 10 millones. <strong><em>Mediana empresa<\/em>:<\/strong>\u00a0entre 50 y 250 personas; volumen de negocios anual no excede de 50 millones o cuyo balance general anual no excede de 43 millones <strong><em>Gran empresa<\/em>:<\/strong>\u00a0m\u00e1s de 250 personas; volumen de negocios anual o balance general anual superior a 43 millones<\/p>\n","protected":false},"excerpt":{"rendered":"<p>El aumento de las ciberamenazas, la sofisticaci\u00f3n de los ataques, y la posibilidad que ofrecen las tecnolog\u00edas m\u00e1s punteras a los ciberdelincuentes (como la Inteligencia Artificial), ha llevado a la Uni\u00f3n Europea a fortalecer su marco normativo en materia de ciberseguridad.<\/p>\n","protected":false},"featured_media":35584,"template":"","tipo_articulo":[3181],"ambito_geografico":[],"boletin":[4449],"class_list":["post-35574","noticias_boletin","type-noticias_boletin","status-publish","has-post-thumbnail","hentry","tipo_articulo-articulo-de-opinion","boletin-febrero-2025"],"acf":[],"_links":{"self":[{"href":"https:\/\/www.lksnext.com\/es\/wp-json\/wp\/v2\/noticias_boletin\/35574","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.lksnext.com\/es\/wp-json\/wp\/v2\/noticias_boletin"}],"about":[{"href":"https:\/\/www.lksnext.com\/es\/wp-json\/wp\/v2\/types\/noticias_boletin"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.lksnext.com\/es\/wp-json\/wp\/v2\/media\/35584"}],"wp:attachment":[{"href":"https:\/\/www.lksnext.com\/es\/wp-json\/wp\/v2\/media?parent=35574"}],"wp:term":[{"taxonomy":"tipo_articulo","embeddable":true,"href":"https:\/\/www.lksnext.com\/es\/wp-json\/wp\/v2\/tipo_articulo?post=35574"},{"taxonomy":"ambito_geografico","embeddable":true,"href":"https:\/\/www.lksnext.com\/es\/wp-json\/wp\/v2\/ambito_geografico?post=35574"},{"taxonomy":"boletin","embeddable":true,"href":"https:\/\/www.lksnext.com\/es\/wp-json\/wp\/v2\/boletin?post=35574"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}