España, a contrarreloj con la Directiva NIS 2

nis2
Empresas
Ciudadanía
Administración pública

 

España avanza con retraso en la adaptación a la nueva normativa europea
Un año después de su entrada en vigor, la Directiva NIS 2 norma europea que refuerza la ciberseguridad en los sectores esenciales y estratégicos aún no ha sido plenamente incorporada a la legislación española.
El texto debía transponerse antes del 17 de octubre de 2024, pero el proceso continúa en curso, lo que coloca a España “a contrarreloj” para cumplir los plazos fijados por la Comisión Europea.

La nueva directiva amplía el número de sectores obligados a cumplir medidas de ciberseguridad, incluyendo infraestructuras digitales, administración pública, transporte, sanidad, alimentación, energía o servicios financieros.
Además, introduce nuevos requisitos de gestión de riesgos, protección de la cadena de suministro, continuidad operativa y notificación temprana de incidentes.

Un cambio de cultura en la seguridad digital
La NIS 2 no se limita a imponer obligaciones técnicas: persigue un cambio estructural en la forma en que las organizaciones gestionan su resiliencia.
Por primera vez, la responsabilidad directa recae sobre los órganos de dirección, que deberán garantizar la implantación de políticas de seguridad y formación continua.

También se prevé un refuerzo de la cooperación entre los Estados miembros y la creación de redes nacionales de respuesta ante incidentes (CSIRT), con capacidad para actuar de manera coordinada en situaciones de crisis.

Impacto para Galicia y el sector público
En Galicia, esta directiva afectará de manera especial a las entidades públicas y a las empresas de servicios esenciales, que deberán adaptar sus sistemas de gestión de riesgos al marco europeo.
La implantación de la NIS 2 supondrá un salto cualitativo en la cultura de seguridad, impulsando la colaboración entre administraciones, proveedores y el sector privado.

Qué implica la NIS 2

  • Requisitos mínimos de ciberseguridad armonizados en toda la UE.
  • Supervisión reforzada y sanciones por incumplimiento.
  • Responsabilidad directa de la alta dirección.
  • Obligación de comunicar incidentes graves en menos de 24 horas.
  • Cooperación transfronteriza entre Estados miembros.