Se abordaron el estado actual de esta transposición y las implicaciones para diversas entidades. Se destacó la necesidad de una mejora en la ciberresiliencia, así como la creación de un Centro Nacional de Ciberseguridad. La sesión concluyó con una demostración práctica de respuesta a ciberincidentes.
El 8 de mayo de 2025 Fide celebró la sesión sobre “La futura ley de coordinación y gobernanza de la ciberseguridad: transposición de la Directiva NIS-2”.
La sesión comenzó con una intervención inicial del moderador de la mesa, Javier Fernández-Samaniego, socio de Osborne Clarke y especialista en derecho de las Tecnologías y Protección de Datos y Consejero Académico de FIDE.
Intervinieron como ponentes Sandra Oliva Onís, quien pertenece al Cuerpo Superior de Administradores Civiles del Estado y es además, Coordinadora de Área en la Vicesecretaría Técnica del Ministerio del Interior, donde se encarga , entre otras cuestiones, de la coordinación de la transposición de normas de la Unión Europea que afectan al ámbito del Ministerio del Interior; Alejandro Padín Vidal, abogado y socio del Departamento de Derecho Mercantil de Garrigues y Responsable del área de Economía del Dato, Privacidad y Ciberseguridad, que además ha participado en los procesos legislativos en dicha materia, tanto en España como en otros países; y Andrés Parro, Ingeniero de Telecomunicaciones y Managing Director de la práctica de Ciberseguridad en FTI Consulting, que cuenta con una amplia experiencia en retos de ciberseguridad y gestión de ciberincidentes, además, anteriormente ha ocupado el cargo de Responsable Global de la Gestión de Ciberincidentes en el Banco Santander.
En el día previo a la sesión (el 7 de mayo de 2025), la Comisión Europea envió un Dictamen motivado a varios Estados Miembros, entre ellos España, debido a la falta de notificación de la plena transposición de la Directiva 2022/2555, de 14 de diciembre de 2022, relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión (en adelante, la “Directiva NIS-2” o la “Directiva”).
Ante esa circunstancia, el inicio de la sesión se enfocó en esclarecer el estado actual en el que se encuentra la transposición de la Directiva NIS-2 -que debía haber sido incorporada en derecho Español el pasado 17 de octubre de 2024- tras la aprobación del Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad en primera vuelta del Consejo de Ministros, el 14 de enero de este año.
Se explicaron en primer lugar las fases del procedimiento de infracción por incumplimiento del Derecho de la Unión Europea que pueden desembocar en la remisión de un Dictamen Motivado por parte de la Comisión:
1º. Se lleva a cabo una fase de diálogo estructurado, en la que la Comisión Europea consulta al Estado Miembro correspondiente sobre el estado de la transposición.
2º. En caso de que la Comisión Europea considere insuficiente la argumentación del Estado Miembro sobre el estado de la transposición, le traslada una carta de emplazamiento, a la que se debe proporcionar respuesta en el plazo de 2 meses.
3º. Seguidamente, la Comisión Europea emite un Dictamen Motivado en caso de que la respuesta del Estado Miembro a la carta de emplazamiento se considere insuficiente, teniendo el Estado Miembro un plazo 2 meses, con posibilidad de prórroga, para responder a dicho Dictamen.
Posteriormente, la Comisión Europea puede considerar que existe infracción y acudir al Tribunal de Justicia de la Unión Europea.
En este sentido, en la sesión se indicó que la mencionada 1º fase no tuvo lugar, pasando la Comisión Europea directamente a emitir la carta de emplazamiento. Por esta razón y ante la inminente terminación del plazo y la demora que puede ocasionar el debate parlamentario, se concluye que no se descarta, aunque no es la opción en la que se está trabajando, la aprobación de un Real Decreto – Ley para evitar posibles sanciones por parte de la Comisión Europea, dados los escasos márgenes de tiempo con los que se cuenta.
A continuación , por el Ministerio del Interior -responsable de la transposición-(junto con el Ministerio de Defensa y el Ministerio para la Transformación Digital y de la Función Pública) se facilitaron datos relativos a la fase de audiencia pública del Anteproyecto que finalizó el pasado 10 de febrero de 2025 y donde, tanto particulares y asociaciones, como empresas públicas y privadas de diferentes sectores, aportaron sus propuestas para la elaboración del esperado texto normativo. En concreto, hubo un total de 57 aportaciones: 8 de particulares, 27 de asociaciones u organizaciones (10 del sector de las telecomunicaciones, 3 del sector energético y otras del sector económico), 6 entidades privadas del sector de las telecomunicaciones, 6 del sector energético y 2 de del sector de la seguridad, así como 8 entidades públicas.
Actualmente, se está llevando a cabo la adaptación del texto a fin de incorporar las propuestas recibidas y se está realizando el análisis de los Informes que fueron solicitados a diferentes organismos como los ministerios intervinientes (defensa, transformación digital, sanidad, transportes, transición ecológica…), los departamentos ministeriales, la Agencia Española de Protección de Datos, el Banco de España, la Oficina de Coordinación y Calidad Normativa, así como el dictamen del Consejo de Estado.
Tras la fase de informes, deberá recabarse la aprobación previa del Ministerio para la Transformación Digital y de la Función Pública y el dictamen del Consejo de Estado, que dispone de un plazo de dos meses para emitirlo. Posteriormente, el anteproyecto se aprobaría en segunda vuelta del Consejo de Ministros y se remitiría a las Cortes Generales para su aprobación definitiva.
El siguiente bloque se enfocó en el ámbito de aplicación y los sujetos obligados por la Directiva, poniéndose de manifiesto la complejidad que tienen las empresas para realizar una autoidentificación en cuanto a la aplicación de la norma, exceptuando sectores más consolidados desde una perspectiva de ciberseguridad como puede ser el de las telecomunicaciones o el sector financiero.
Teniendo en cuenta que la Directiva NIS-2 cuenta con un ámbito de aplicación basado en el tamaño (facturación y/o número de empleados) y sectores a los que pertenecen las empresas, se pone de manifiesto la complejidad del mismo, concluyendo en que la finalidad última de esta normativa es elevar el nivel medio de ciberseguridad y, por tanto, el esquema más simple sería exigir un cumplimiento generalizado. No obstante, esto podría dar lugar a un ámbito de aplicación demasiado intrusivo o generalista, que no podría ser alcanzado por la totalidad de las empresas de nuestro país ya que el coste de su implementación y mantenimiento es elevado.
Asimismo, se resaltó la importancia de algunos sectores como el educativo, haciendo alusión a Universidades y Centros de Investigación que lleven a cabo proyectos de investigación con los sectores considerados de alta criticidad a quienes les puede afectar la normativa. En este caso, se mencionó que las Universidades han hecho mejoras de carácter técnico pero no enfocadas en la aplicación de la norma, destacando esa incertidumbre sobre las medidas a implementar.
Como solución a este marco de incertidumbre sobre la aplicación de la norma, se hizo alusión al esperado listado nacional de empresas y entidades, cuya publicación estaba prevista para el 17 de abril de 2025, no publicado a fecha de hoy.
Seguidamente, la sesión trató sobre la implementación de la norma en el sector de las telecomunicaciones y el sector financiero, los cuales, como se ha mencionado, son sectores más maduros en el ámbito de la ciberseguridad, sobre todo por la obligación de cumplimiento del Real Decreto-ley 7/2022, de 29 de marzo, sobre requisitos para garantizar la seguridad de las redes y servicios de comunicaciones electrónicas de quinta generación.
Este hecho favorecerá a las empresas de estos sectores, ya que su implementación se llevará a cabo sobre un sistema de gestión previamente establecido, no obstante, no eximirá de un aumento de la carga administrativa y trámites burocráticos, por lo que será un cambio más notable a nivel psicológico y organizativo que a nivel técnico.
Sin embargo, se resaltan las dificultades que pueden tener las empresas de menor tamaño y de sectores menos consolidados en cuanto a ciberseguridad, ya que el objetivo no es llevar a cabo la implementación de medidas de seguridad por separado, sino establecer un marco de gobernanza único y un sistema fuerte de seguridad que permita a las entidades estar preparadas ante posibles riesgos y poder demostrar que existe esta preparación.
En relación a la implementación de este marco de gobernanza, se planteó durante la sesión si la implementación de la Directiva NIS-2 supondría un salto cualitativo respecto del cumplimiento de la Directiva 2016/1148, de 6 de julio de 2016 relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión (NIS-1), concluyendo en que el objetivo de la Directiva NIS-2 es que la fortaleza del país en materia de seguridad sea tan fuerte como las empresas más débiles, alcanzando un nivel promedio elevado y consiguiendo un sistema más robusto de forma generalizada.
En este sentido, se señaló la importancia que va a tener el órgano de administración de las empresas debido a las características del régimen sancionador de la Directiva NIS-2. En consecuencia, los altos directivos deberán estar involucrados en la toma de decisiones relacionadas con la implementación de medidas de seguridad en la compañía, lo que aumentará la concienciación de altos cargos y empleados y favorecerá la reducción del factor humano como causa de incidentes de seguridad, que actualmente constituye un porcentaje del 90%.
A continuación, salieron a la luz dos conceptos fundamentales que ya introdujeron el Reglamento (UE) 2024/1689, de Inteligencia Artificial (“RIA”) y el Reglamento General (UE) 2016/679 de Protección de Datos (“RGPD”), los cuales no eran comunes en la tradición jurídica española: la “ciberresiliencia” y el principio de “accountability”.
Dichos conceptos implican que se den los siguientes factores:
- Que las empresas deban estar preparadas ante cualquier situación que amenace o comprometa la seguridad de la información y sistemas de la misma;
- Que las empresas deban contar con la capacidad suficiente para poder demostrar que esa preparación e implementación es fehaciente y suficiente en relación con los riesgos a los que se encuentran expuestas;
- Que las medidas de seguridad implementadas permitirán superar los incidentes y dificultades que puedan surgir, para lo cual se han llevado a cabo los análisis de riesgos correspondientes
Seguidamente, se abordaron los esquemas europeos de certificación de la ciberseguridad, sobre los que destaca la poca incidencia que se está haciendo en ellos y cuyo foco de atención está recayendo sobre las obligaciones de notificación de incidentes, las cuales suponen un aumento de la carga administrativa y no conllevan un incremento de la fortaleza del sistema de seguridad.
En este sentido se puso de manifiesto el desarrollo de la nueva plataforma nacional de notificación de incidentes, que puede contribuir a la coordinación y centralización en dicho ámbito.
La última parte de la sesión trató sobre el marco de gobernanza. Con el objetivo de establecer una autoridad nacional competente única en materia de gobernanza de la ciberseguridad, se crea el Centro Nacional de Ciberseguridad, que estará adscrito al Gabinete de la Presidencia del Gobierno, teniendo como objetivo, entre otros, que coordine las funciones que actualmente se encuentran repartidas entre las Autoridades de Control de los tres Ministerios involucrados, las cuales se centrarán en llevar a cabo las funciones de supervisión y ejecución:
- Oficina de Coordinación de Ciberseguridad de la Secretaría de Estado de Seguridad, dependiente del Ministerio del Interior.
- Centro Criptológico Nacional del Centro Nacional de Inteligencia, dependiente del Ministerio de Defensa.
- Secretaría de Estado de Telecomunicaciones e Infraestructuras Digitales y de Digitalización e Inteligencia Artificial, dependiente del Ministerio para la Transformación digital y de la Función Pública.
No obstante, esto puede tener dificultades ya que la Directiva NIS-2 es muy transversal y afecta a dependencias ministeriales diversas, por lo que la labor de coordinación es fundamental.
Finalmente, y en línea con las Autoridades de Control y su régimen sancionador, se planteó la posibilidad de que las entidades afectadas por la norma no contasen con un periodo suficiente de adaptación tras la transposición de la Directiva NIS-2 y, en consecuencia, se encuentren en un periodo de riesgo de sanción hasta su completa implementación.
A este respecto, se puso de manifiesto que las Autoridades de Control mantienen un perfil diferente a otras Administraciones Públicas y que su objetivo principal no es la imposición de sanciones, sino averiguar el origen de la infracción y evitar que vuelva a suceder, propiciando así el cumplimiento de la norma.
En conclusión, la adaptación al nuevo marco normativo exigido por la Directiva NIS-2 no solo implica una actualización legal, sino un cambio en la cultura organizativa frente a la ciberseguridad. Las entidades deben prepararse cuanto antes para cumplir con exigencias más rigurosas en materia de prevención, respuesta y responsabilidad, asumiendo que la ciberresiliencia ya no es opcional, sino un imperativo legal y estratégico.
La sesión terminó con una demostración práctica de la respuesta a un ciber incidente bajo los requerimientos de NIS2 por parte de FTI Consulting.ración práctica de la respuesta a un ciber incidente bajo los requerimientos de NIS2 por parte de FTI Consulting.
Resumen elaborado por Silvia López Iglesias, asociada de ECIJA
