La directiva NIS2 de la Unión Europea entró en vigor en enero de 2023 para aumentar e igualar el nivel de ciberseguridad de los Estados miembros, imponiendo obligaciones más estrictas a las empresas y administraciones públicas. Sin embargo, su aplicación en algunos países como España se ha ido retrasado hasta ahora, cuando parece que, por fin, está cerca de implementarse. Y cuando eso suceda, se pondrán en marcha una serie de mecanismos importantes, que cambiarán muchas cosas.

"La NIS2 es una novedad, porque en Europa, y en el mundo en general, no suele haber legislación sobre ciberseguridad. Pero, además, esta en concreto está pegando fuerte por varios factores. Uno de ellos es que contempla responsabilidad penal para los directivos, administradores y consejeros de las compañías en caso de incumplimientos. Por eso es un tema que ya se está debatiendo en los consejos de administración, porque la primera estimación dice que solo España afectará a 10.000 empresas de todos los sectores", explica Alejandro Delgado, director de ventas y desarrollo de negocio en Iberia de GlobalSuite Solutions, una compañía tecnológica que ofrece soluciones de Gobierno, Riesgo y Cumplimiento (GRC) para reforzar la ciberseguridad.

De acuerdo con Delgado, la NIS2 se basa en una serie de legislaciones que los países europeos han aprobado a nivel nacional en los últimos años, que recogen que las personas jurídicas (es decir, las empresas) tienen responsabilidad penal si se cometen delitos dentro de la organización, ya sea de manera deliberada o por una negligencia. Y eso, por ende, traslada la responsabilidad a las personas encargadas de administrar estas compañías.

"En España se introdujo ese cambio en el Código Penal en el año 2015, y fue una revolución. De hecho, hubo magistrados del Tribunal Supremo que estuvieron en contra", rememora Delgado. "Lo que sucede es que, dentro de los delitos sobre los que las empresas tienen responsabilidad, están los que tienen que ver con las telecomunicaciones y con la informática, como robos de información o revelación de secretos. Todos los países europeos tienen ese concepto en su código penal. Y en eso se ha apoyado la NIS2, que dice que si eres negligente, tienes responsabilidad".

Aquí es donde se abre un nuevo paradigma. Y es que a partir de ahora los directivos de las empresas, así como el CEO y el CISO (director de seguridad de la información) de las compañías podrían enfrentarse a multas que pueden alcanzar los 10 millones de euros o el 2% del volumen de negocios anual de su empresa. Unas sanciones que tendrían que hacer frente de forma personal. Pero para que eso suceda se tiene que dar una condición: que se considere que los dirigentes no han implementado las medidas de seguridad necesarias, ignorando de manera deliberada la directiva NIS2.

"En esos casos se abrirá un proceso judicial, por decirlo de alguna manera, tradicional. Los jueces y los peritos informáticos serán los encargados de dictaminar si los directivos tienen responsabilidad, analizando si hicieron todo lo que estaba a su alcance dentro de sus posibilidades, porque obviamente hay un principio de proporcionalidad. El dinero que pueden invertir en ciberseguridad las empresas grandes y las pequeñas no es el mismo, y todo eso se valorará", desliza Delgado.

El experto aclara que los directivos que no tengan dinero para pagar las sanciones podrían incluso acabar en la cárcel o teniendo que responder con sus bienes personales: "En esos casos se abriría otro trámite, que es la vía administrativa. Es como cuando te declaras insolvente, un terreno bastante delicado. Por eso la gente quiere tenerlo lo más cubierto posible".

La pregunta que surge es cuántas multas se pondrán en la práctica. "Diría que espero que haya pocas, pero también espero que haya alguna, porque al final en España funcionamos así. Hasta que no vemos las barbas de nuestro vecino cortar"... desliza Delgado. "En cualquier caso, hasta ahora no se ha puesto ninguna multa porque la NIS2 no está traspuesta en España, así que no se puede empezar a sancionar. Pero es una ola que viene y que no hay quien la pare. Así que hay que prepararse", añade

En principio los países tenían hasta octubre del 2024 para transponer la NIS2 a su ordenamiento jurídico, pero esa fecha se fue retrasando por complejidades legislativas. En el caso de España, el pasado 14 de enero el Consejo de Ministros aprobó el anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad para trasponer la NIS2. Pero ese proceso aún no se ha completado. "Debería estar traspuesta ya, pero viendo que el Gobierno tiene muchos frentes abiertos creo que estará lista antes del verano", valora Delgado.

Ciberataques diarios

El pasado 7 de febrero, durante el VII Congreso Internacional de Inteligencia Artificial organizado por este periódico, Miguel Sánchez, director global de Seguridad e Inteligencia de Telefónica, aseguró que terminaron el año 2024 registrando más de 90.000 ciberataques diarios. Y no es un caso aislado.

"Lo de los ciberataques es tremendo. En los últimos diez años de todos los que se producen nos enteramos del 1%. Y cada vez hay más robos de información entre gobiernos. Hay una página web que se llama Kaspersky que tiene un mapa en tiempo real de los que se están produciendo. Y ahí se ve que casi todos vienen de China y Rusia, y en menor medida también de la India. Es una pasada", asegura Delgado.

El contexto pedía una normativa más dura, y eso explica la llegada de la NIS2, que traerá más novedades. La directiva, por ejemplo, pone el foco en los proveedores de las cadenas de suministro, por donde llegan el 60% de los ciberataques a las empresas, tal y cómo explicó a este periódico Marta Solaz, Business Information Security Officer (BISO) de i-DE, la empresa de distribución eléctrica del grupo Iberdrola.

Pero además, la NIS2 afecta a un número elevadísimo de empresas. Exige requisitos duros y muy concretos, como poner en marcha centros de respuesta para incidentes o planes de continuidad, para seguir operando en caso de un ciberataque, o hacer pruebas de hacking ético. Medidas que la normativa anterior, la NIS, no recogía. Eso explica por qué su antecesora pasó "sin pena ni gloria", en palabras de Delgado, y por qué la nueva puede revolucionarlo todo.

Además, tanto NIS2 como DORA, otro reglamento europeo de ciberseguridad enfocado a los bancos que se aplica desde pasado 17 de enero de 2025, obligan a las compañías a reportar los incidentes. De momento, DORA impone que informen a la CNMV y al Banco de España. Y en el caso de NIS 2 se está creando un organismo específico para llevar a cabo esa labor.

"La NIS2 obliga a las empresas pequeñas a pegar un salto, dentro de sus posibilidades, para acercarse mucho al nivel de las grandes. Al final las compañías grandes están mejor preparadas, pero si te sales de ellas el nivel es bastante bajo, aunque ha mejorado. Por eso algunos CISO de empresas con los que hemos hablado nos dicen que agradecen esta normativa, porque ahora que tienen una ley que cumplir les van a dar un presupuesto para ciberseguridad que antes no tenían", concluye Delgado.