- La Directiva NIS2, en vigor desde el 17 de octubre, obliga a empresas a reforzar sus sistemas de ciberseguridad.
- El CNI, a través del CCN-CERT, será el encargado de vigilar el cumplimiento en España.
- Las multas por incumplimiento pueden alcanzar hasta 10 millones de euros o el 2% de la facturación.
- Las nuevas exigencias afectan tanto a grandes empresas como a pymes que operen en sectores críticos.
El Centro Nacional de Inteligencia (CNI) ha sido designado como el principal responsable de supervisar el cumplimiento de la Directiva NIS2 en España, una normativa europea que entró en vigor el pasado 17 de octubre y que obliga a las empresas a fortalecer sus sistemas de ciberdefensa. A través del CCN-CERT, el brazo del CNI especializado en ciberseguridad, se vigilará que las entidades españolas implementen las medidas necesarias para prevenir ciberataques y proteger sus infraestructuras críticas.
El Instituto Nacional de Ciberseguridad (INCIBE) ha explicado que esta directiva tiene como objetivo unificar y elevar el nivel de ciberseguridad en todos los países de la Unión Europea (UE). Las nuevas disposiciones requieren que los estados adopten estrategias nacionales de ciberseguridad y designen autoridades competentes para gestionar crisis cibernéticas, así como puntos de contacto y equipos de respuesta rápida a incidentes.
Control y cumplimiento a cargo del CNI y el INCIBE
El CNI, apoyado por el INCIBE, será el encargado de garantizar que las empresas cumplan con las exigencias de la NIS2. Según ha revelado Vozpópuli, el CCN-CERT, dependiente del Ministerio de Defensa, ha elaborado una guía para facilitar el cumplimiento de la nueva normativa. Esta guía establece que se podrán crear perfiles específicos de cumplimiento según el sector o el tipo de entidad, detallando los requisitos y medidas que deben adoptar para ajustarse al Esquema Nacional de Seguridad (ENS), que integra los principios de la NIS2.
La guía del CCN-STIC destaca que el Centro Criptológico Nacional validará los perfiles de cumplimiento para cada sector, asegurando que las entidades cumplan con los estándares establecidos. Además, se exige que las auditorías y supervisiones sean realizadas por profesionales cualificados, bajo los criterios definidos en la normativa “CCN-CERT IC-01/19”.
Multas millonarias por incumplimiento
Las sanciones por no cumplir con la Directiva NIS2 pueden ser muy severas. Para las entidades consideradas ‘esenciales’, como las de sectores de banca, telecomunicaciones, energía y administraciones públicas, las multas pueden alcanzar los 10 millones de euros o el 2% de la facturación anual. Por su parte, las entidades calificadas como ‘importantes’ podrían enfrentarse a sanciones de hasta 7 millones de euros o el 1,4% de su facturación.
Ampliación de las obligaciones a pymes y micropymes
La NIS2 obliga a cumplir con estas nuevas exigencias a todas las empresas con más de 50 empleados. Sin embargo, si una entidad es clasificada como ‘importante’ o ‘esencial’, deberá ajustarse a la normativa independientemente de su tamaño. Esto incluye a pymes y micropymes que ofrezcan servicios a sectores considerados críticos, lo que amplía significativamente el número de empresas afectadas.
Las autoridades esperan que esta normativa mejore la capacidad de respuesta ante ciberataques y proteja mejor la infraestructura clave de España y el resto de la UE, en un momento en el que las amenazas cibernéticas están en constante crecimiento.
