Seis meses después de la entrada en vigor de la Directiva NIS2, una parte significativa del tejido empresarial aún no cumple con los requisitos fundamentales en materia de ciberseguridad exigidos por la normativa europea. Distintos estudios elaborados por organismos como ENISA y la Cámara de Comercio de España ponen de relieve las principales carencias del sector privado español.
La Directiva NIS2, vigente desde octubre de 2024, representa un gran avance legislativo en materia de ciberseguridad en la Unión Europea desde la aprobación de la primera Directiva NIS en 2016. Esta nueva normativa afecta directamente a miles de empresas españolas, exigiéndoles la adopción de medidas técnicas, organizativas y formativas concretas para fortalecer su nivel de protección en materia de ciberseguridad.
Los datos más recientes muestran que las organizaciones españolas aún no están preparadas. Según el Observatorio de Competitividad Empresarial de la Cámara de Comercio de España (2024), solo el 34 % de las empresas forma en ciberseguridad de manera regular a su plantilla, y más de una cuarta parte no cuenta con personal especializado ni responsable claro en esta materia. A pesar de ello, el 73% de las empresas encuestadas considera que está suficientemente protegida.
Este desajuste entre percepción de seguridad y la realidad choca con las exigencias del Artículo 21 de la Directiva NIS2, que obliga a todas las entidades afectadas, esenciales e importantes, a implementar políticas de análisis de riesgos, gestión de incidentes, planes de continuidad de negocio. A ello se suma la necesidad de formar a su personal, incluidos los miembros del equipo directivo, como se especifica también en el Artículo 20.
Además, según la Memoria del Anteproyecto de Ley de Gobernanza en Ciberseguridad del Ministerio del Interior, el grado medio de implantación de los requisitos de NIS2 en función del tipo de entidad es todavía limitado:
- Entidades importantes: 27%
- Entidades esenciales no reguladas previamente por NIS1: 48%
- Entidades esenciales reguladas previamente por NIS1: 95%
“Los datos lo dicen todo: gran parte del tejido empresarial español sigue sin estar preparado. NIS2 exige cambios estructurales, desde la implicación directa de la dirección hasta la aplicación de políticas formales de gestión de riesgos”, explica José Antonio Morcillo, Head of Channel Iberia de Kaspersky.
Por su parte, el informe “Cybersecurity Skills – The Cybersecurity Workforce Portrait’ de ENISA (2024), advierte que la mayoría de países de la UE enfrenta serias dificultades para cubrir puestos clave en áreas como operaciones de ciberseguridad, arquitectura y análisis forense. Esto impacta de forma directa en la capacidad de las organizaciones para adaptarse a la NIS2, especialmente en sectores como salud, TIC o administración pública, donde el nivel de madurez en ciberseguridad sigue siendo bajo.
Riesgos de no cumplir con la Directiva NIS2
No cumplir con la Directiva NIS2 puede acarrear sanciones económicas importantes, además de poner en riesgo la continuidad de negocio. La legislación española de transposición contempla un régimen sancionador que incluye multas proporcionales a la gravedad del incumplimiento, y la supervisión se centrará especialmente en entidades que operan en sectores estratégicos y vulnerables, según ha señalado ENISA.
Los expertos hacen un llamamiento a las empresas españolas a:
- Revisar si están incluidas en el ámbito de la NIS2 (consultando los Anexos I y II de la Directiva).
- Evaluar su nivel de preparación actual.
- Planificar la formación de su equipo antes de octubre.
- Apoyarse en socios tecnológicos con experiencia contrastada en cumplimiento normativo.
