Antonio Tejeda Encinas Ph.D Derecho UE. Presidente Comité Euro Americano de Derecho Digital –CEA Digital Law.  European Representative for Latin America in Cybersecurity and Digital Transformation”

1. Introducción y contexto
La ciberseguridad se ha convertido en un elemento central para la estabilidad de las infraestructuras críticas y la protección de datos en Europa. En este contexto, la Directiva NIS2, formalmente conocida como Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo, actualiza la Directiva NIS1 (Directiva 2016/1148) con el objetivo de mejorar la resiliencia y seguridad de las redes y sistemas de información de los Estados miembros. Esta actualización surge como respuesta a la creciente complejidad y frecuencia de las amenazas cibernéticas que impactan sectores esenciales para la economía y la sociedad europea.

La Directiva NIS2 se adoptó formalmente en diciembre de 2022 y entró en vigor en enero de 2023, con un plazo máximo de transposición para los Estados miembros hasta el 17 de octubre de 2024 y su aplicación efectiva a partir del 18 de octubre de 2024.

Vamos a analizar el estado de la transposición de esta Directiva en España, el marco normativo existente y el procedimiento legislativo a seguir para garantizar su correcta implementación.

2. Marco legal preexistente en España:
Antes de la Directiva NIS2, España ya contaba con un marco regulatorio de ciberseguridad adaptado a la Directiva NIS1:

** Real Decreto-ley 12/2018, de 7 de septiembre: Transpuso la Directiva NIS1 a la legislación española, estableciendo un conjunto de medidas de ciberseguridad para los operadores de servicios esenciales y los proveedores de servicios digitales. El RDL 12/2018 definía las categorías de servicios y las obligaciones de seguridad y notificación de incidentes.

** Real Decreto 311/2022, de 3 de mayo: Regula el Esquema Nacional de Seguridad (ENS), un instrumento que armoniza los requisitos mínimos de seguridad en el sector público y que, en muchos aspectos, ya se alineaba con las nuevas exigencias de la NIS2. El ENS es de aplicación obligatoria a todas las entidades del sector público y a los proveedores que prestan servicios a dichas entidades.

¿Por qué coexistían la Directiva NIS1 y el ENS?
El ENS fue creado antes de la Directiva NIS1 con el objetivo de unificar y estandarizar las medidas de seguridad para las entidades del sector público español. Su existencia responde a la necesidad de que las Administraciones Públicas mantuvieran un nivel mínimo de ciberseguridad y protección de la información. Por ello, aunque la Directiva NIS1 se centraba en operadores de servicios esenciales y proveedores de servicios digitales, el ENS abarcaba exclusivamente a entidades del sector público y sus proveedores.

Cuando se implementó la NIS1 en 2018, fue necesario crear un marco específico para cubrir a operadores privados esenciales que no estaban sujetos al ENS. De este modo, las obligaciones de la Directiva NIS1 y del ENS coexistían, pero aplicadas a sujetos diferentes. Con la llegada de la NIS2, el ENS se está actualizando para armonizar sus requisitos y extender su alcance a entidades privadas de sectores críticos, eliminando parte de esta segmentación.

El marco preexistente, por tanto, sienta las bases para la incorporación de la NIS2, que amplía y redefine las categorías de entidades sujetas a la normativa y establece obligaciones de seguridad más rigurosas, así como un régimen sancionador más estricto.

3. Objetivos y ámbito de la Directiva NIS2:
La NIS2 tiene como objetivo crear un nivel común elevado de ciberseguridad en la Unión Europea. Para ello, se estructura en torno a los siguientes principios:

Ampliación del ámbito de aplicación: Incluye nuevos sectores considerados de alta criticidad (energía, transporte, sanidad, infraestructuras digitales) y de importancia crítica (gestión de residuos, manufactura química y alimentaria).

Clasificación de entidades en esenciales e importantes: Basado en la criticidad del sector y el tamaño de la entidad. Las obligaciones de seguridad y notificación son más estrictas para las entidades esenciales.

Obligaciones reforzadas: Introduce obligaciones más exigentes en cuanto a la gestión de riesgos, la gobernanza y la resiliencia. Se establecen requisitos específicos para la seguridad de la cadena de suministro y la gestión de crisis.

Régimen sancionador más severo: Las sanciones por incumplimiento pueden alcanzar hasta 10 millones de euros o el 2% del volumen de negocios anual para las entidades esenciales, y 7 millones de euros o el 1,4% del volumen de negocios anual para las entidades importantes.

4. Proceso de transposición de la Directiva NIS2 en España:
La transposición de la Directiva NIS2 en España se está realizando mediante un Real Decreto-ley, el cual permitirá al Gobierno cumplir con el plazo impuesto por la UE (17 de octubre de 2024). El uso del RDL se justifica en razón de la extraordinaria y urgente necesidad de adaptar la normativa en tiempo y forma para evitar sanciones por parte de la Comisión Europea y garantizar la seguridad de las infraestructuras críticas.

El Real Decreto-ley (RDL): Permite la entrada en vigor inmediata de las medidas de la NIS2, pero requiere ser ratificado por el Parlamento en un plazo de 30 días. Esta herramienta legislativa se utiliza para cumplir con el calendario europeo, asegurando la transposición formal en tiempo, pero no implica la aprobación definitiva del texto como ley.

Debate y aprobación por las Cortes Generales: Una vez ratificado, el RDL será objeto de un debate parlamentario completo para convertirse en una Ley definitiva, momento en el cual podrán introducirse ajustes y modificaciones según las consideraciones de los grupos parlamentarios y los agentes sociales afectados. Este proceso permite una mayor participación y transparencia, aunque sujeta el contenido del RDL a posibles modificaciones.

5. Estado actual de la transposición:
Actualmente, la transposición de la Directiva NIS2 se encuentra en fase avanzada, con la redacción del Real Decreto-ley casi completa y su aprobación prevista en el Consejo de Ministros antes de la fecha límite (17 de octubre de 2024). Según fuentes no oficiales y el análisis del marco normativo, se espera que las principales modificaciones se centren en:

Actualización de los requisitos de ciberseguridad para el sector público y privado.

Ampliación de la cobertura del ENS para incluir nuevos sectores y entidades importantes según la clasificación de la NIS2.

Coordinación entre autoridades: El Centro Criptológico Nacional (CCN), junto con el Ministerio de Asuntos Económicos y Transformación Digital, serán los encargados de supervisar el cumplimiento de la normativa y coordinar con los CSIRT (Equipos de Respuesta a Incidentes de Seguridad Informática) correspondientes.

6. Problemas potenciales y desafíos de la transposición:
Aprobación parlamentaria: Aunque el RDL garantiza la entrada en vigor de las obligaciones de la NIS2, la falta de consenso parlamentario podría retrasar la aprobación definitiva de la ley, generando incertidumbre regulatoria.

Adaptación de las entidades afectadas: Las entidades que previamente no estaban sujetas a la NIS1 (por ejemplo, servicios de gestión de residuos y manufactura alimentaria) deberán adaptarse rápidamente a los nuevos requisitos.

Implementación efectiva del régimen sancionador: Asegurar que las sanciones sean proporcionales y efectivas requerirá una coordinación sólida entre los órganos reguladores y las autoridades competentes.

Este análisis pretende ofrecer una visión integral de la situación actual y el proceso de implementación de la Directiva NIS2 en el contexto legislativo español.