Novedades en la transposición de NIS 2

Nota informativa del área de Protección de Datos de ECIJA Madrid.

Análisis del Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad, por el que se lleva a cabo la transposición a nuestro Ordenamiento Jurídico de la Directiva 2022/2555 relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión Europea (en adelante “NIS 2” o la “Directiva” ).

Lo que necesitas saber:

• El pasado 14 de enero ha sido aprobado por el Consejo de Ministros el anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad que tiene como objeto transponer al Ordenamiento Jurídico español la Directiva NIS 2.
• En él se amplían los Sectores considerados como “críticos” a los efectos del ámbito de aplicación.
• Se configura el marco institucional para la gobernanza de la ciberseguridad en España.
• Las medidas de gestión de riesgos de ciberseguridad se “inspirarán” en el ENS, y por tanto cumplir con el ENS garantizará cumplir con NIS 2.
• Las Autoridades de Control podrán llevar a cabo inspecciones in situ y aleatorias y solicitar cualesquiera evidencias requieran para verificar el nivel de cumplimiento de las medidas de seguridad.
• Las sanciones por incumplimiento se impondrán con carácter solidario a entidades y directivos, pudiendo alcanzar la cuantía de hasta 10.000.000 € o el 2% de facturación

Parece que la esperada transposición de la Directiva NIS 2 a nuestro Ordenamiento Jurídico va tomando forma. El plazo para ello expiró el pasado 17 de octubre de 2024, aunque algunos de los Estados Miembros, como es el caso de nuestro país, no llegaron a tiempo. Así, aunque tarde, ya ha sido aprobado en Consejo de Ministros el borrador para la norma que se encargará de transponer las directrices de NIS 2 en España, y su tramitación parlamentaria se hará por la vía de urgencia.

El Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad (en adelante el “Anteproyecto de Ley” o el “Anteproyecto”) trae consigo algunas novedades respecto de la Directiva, así como define algunos aspectos fundamentales que debían ser objeto de desarrollo por parte de los legisladores nacionales.

(I) Ampliación de los sectores vinculados

La norma tiene por objeto el establecimiento de medidas para alcanzar un elevado nivel común de ciberseguridad en España y en la Unión Europea. Por medio de su transposición, se amplían los ámbitos de aplicación originales de la Directiva a dos (2) nuevos sectores:

• Sector Industria Nuclear: Centrales nucleares y entidades relacionadas con la utilización, producción, almacenamiento y transporte de mercancías y materiales nucleares o radiológicos.
• Sector Seguridad Privada: Empresas de seguridad privada y despachos de detectives conforme lo recogido en la Ley 5/2014, de 4 de abril, de Seguridad Privada.

Las obligaciones de la norma se aplican en función de la importancia de la entidad sujeto de aplicación, distinguiéndose entre “entidades esenciales” o “entidades importantes”. Cabe destacar con respecto a las primeras el régimen de “autoevaluación” implementado por el Anteproyecto. Conforme al mismo las entidades deberán evaluar su inclusión en las categorías de esenciales e importantes, de conformidad con los criterios recogidos en los artículos 4.1 y 4.2, y remitir dicha información a las Autoridades de Control. Adicionalmente, la Autoridad de Control podrá por iniciativa propia identificar a entidades esenciales por su impacto en la sociedad española.

Por su parte, serán entidades importantes todas aquellas que no puedan considerarse como entidades esenciales.

Descargar el PDF completo más abajo.