jueves, 15 mayo 2025
Newsletter
TODO

Top 5 esta semana

Post relacionados

10 obligaciones de ciberseguridad de las empresas críticas

Tecnología
Autor: Paula Couto
9 minutos delectura
Las obligaciones de ciberseguridad de las empresas críticas incluirán la necesidad de certificarse

La futura Ley de Ciberseguridad recoge una serie de obligaciones de ciberseguridad de las empresas críticas que afectarán a 6.000 compañías españolas

Hace unos días, el Consejo de Ministros aprobó el anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad. Esta norma que se aprobará a lo largo de 2025 es una transposición de la directiva europea NIS2. Ambas regulaciones tienen como objetivo fortalecer los mecanismos de seguridad, notificación y respuesta a incidentes de las empresas que operan en sectores críticos como la energía, el agua, la sanidad o la alimentación.

Así, junto a las obligaciones de las empresas en materia laboral, fiscal o de protección de datos, esta nueva normativa incorpora diversas obligaciones de ciberseguridad de las empresas críticas para la sociedad y la economía de nuestro país.

Evaluamos que tu empresa cumple con los requisitos de la Ley de Ciberseguridad

¿Qué organizaciones deberán adaptarse a las obligaciones de ciberseguridad de las empresas críticas? En líneas esenciales, las compañías que cumplan estos requisitos:

  • Tengan su residencia fiscal en España.
  • Cuenten con 50 o más trabajadores en plantilla.
  • Presenten una facturación anual superior a los 10 millones de euros.
  • Operen en alguno de los sectores económicos calificados como sectores de alta criticidad o críticos por la ley:
    • Alta criticidad:
      • Agua potable y aguas residuales.
      • Banca e infraestructuras de los mercados financieros.
      • Energía.
      • Espacio.
      • Industria nuclear.
      • Infraestructura digital.
      • Sanidad.
      • Servicios de TIC prestados a otras empresas.
      • Transporte.
    • Otros sectores críticos:
      • Alimentación.
      • Fabricación de productos:
        • Sanitarios.
      • Informáticos.
      • Electrónicos.
      • Maquinaria ncop.
      • De transporte.
      • Gestión de residuos.
      • Investigación.
      • Seguridad privada.
      • Servicios digitales.
      • Servicios postales y de paquetería
      • Sustancias químicas.

Además, las autoridades públicas podrán imponer las obligaciones de ciberseguridad de empresas críticas a compañías que no cumplan estos requisitos.

En total, se estima que en torno a 6.000 compañías españolas tendrán que cumplir las obligaciones de ciberseguridad de empresas críticas fijadas por la LCGC.

A continuación, vamos a desgranar las principales obligaciones de ciberseguridad de empresas críticas y que estas organizaciones deben comenzar a implementar cuanto antes para tener sus estructuras de ciberseguridad preparadas para la entrada de vigor de la ley.

1. Gestión integral de los riesgos de ciberseguridad

En primer lugar, la nueva norma establece en lo relativo a las obligaciones de ciberseguridad de las empresas críticas que estas compañías deben implementar una batería de medidas para gestionar los riesgos a los que se enfrentan y garantizar un nivel de seguridad adecuado de sus redes y sistemas corporativos.

¿De qué medidas hablamos?

  • Diseño e implementación de políticas de seguridad.
  • Gestión de incidentes.
  • Gestión de vulnerabilidades.
  • Gestión de los riesgos de la cadena de suministro.
  • Disaster recovery.
  • Uso de criptografía, cifrado, controles de acceso a la información y sistemas de autenticación multifactor.

Para validad el cumplimiento de estas obligaciones de ciberseguridad de las empresas críticas, las compañías deberán facilitar a la autoridad competente una declaración de aplicabilidad de sistemas.

2. Notificación de incidentes de seguridad

Otro de los pilares maestros de las obligaciones de ciberseguridad de las empresas críticas es el deber de las compañías de notificar a las autoridades públicas sobre los incidentes graves que sufren y que provocan un impacto negativo en los servicios que prestan a sus clientes:

  • Notificación temprana en menos de 24 horas desde la detección del incidente.
  • Evaluación inicial del incidente en menos de 72 horas.
  • Informe intermedio si así lo solicitan las autoridades públicas.
  • Informe final del incidente en el que se desgrane toda la información obtenida sobre las causas, las medidas implementadas, las consecuencias y los procedimientos de los actores maliciosos en caso de tratarse de ciberataques.

3. Comunicación a las personas y empresas que están en riesgo por culpa de un incidente

El catálogo de obligaciones de ciberseguridad de las empresas críticas incluye, también, la necesidad de informar no solo a las autoridades, sino también a los ciudadanos y a las empresas que pueden verse afectados por un incidente de seguridad.

Así, las empresas están obligadas a comunicar a los clientes a los que ofrecen sus servicios aquellos incidentes de seguridad y ciberamenazas significativas que pueden tener un impacto negativo para ellos.

En estas comunicaciones se deben incluir las medidas que los ciudadanos y las empresas pueden poner en marcha para reducir los riesgos a los que se enfrentan. Por ejemplo, instalar un parche de seguridad para que un software vulnerable deje de serlo.

4. Resolución de incidentes de seguridad

Las compañías deben responder de manera eficaz ante los incidentes y garantizar que se resuelven en el menor tiempo posible. Esta es una de las obligaciones de ciberseguridad de las empresas críticas más relevantes.

La Ley de Coordinación y Gobernanza de la Ciberseguridad impone el deber de gestionar los incidentes que afectan a los sistemas y redes de la empresa, como el mandato de garantizar que los incidentes que afecten a sus proveedores también se gestionen de manera eficaz.

Además, esta obligación ha de cumplirse sin importar quién detectó el incidente primero, si la propia compañía o una autoridad pública.

5. Implementación de las recomendaciones de las autoridades competentes en la resolución de incidentes

Junto a la obligación anterior, las empresas deben tener en cuenta que han implementar todas las medidas e indicaciones efectuadas por las autoridades públicas de cara a resolver los incidentes de manera eficaz.

En este sentido, la ley establece que las empresas podrán pedir la colaboración del Equipos de Ciberseguridad y Gestión de Incidentes (CSIRT) a la hora de enfrentarse a un incidente de seguridad. Si bien, deberán poner en marcha todas las medidas propuestas por el CSIRT.

El catálogo de obligaciones de ciberseguridad de las empresas críticas incluye el deber de notificación y resolución de incidentes

6. Nombramiento de un responsable de seguridad de la información

Una de las obligaciones de ciberseguridad de las empresas críticas que ha acaparado la atención de las compañías es la designación de un responsable de seguridad de la información en cada organización.

Este responsable ha de ser un cargo directivo que participe en la toma de decisiones empresariales y tenga conocimientos sobre ciberseguridad.

¿Cuál será su misión? En esencia:

  • Dirigir la elaboración de las políticas de seguridad, supervisar su implementación y evaluar su funcionamiento.
  • Asegurarse de que la compañía cumple con la normativa, así como los proveedores de la misma.
  • Convertirse en el punto de contacto de las autoridades públicas.

7. Obtención de un certificado de conformidad o realización de una autoevaluación de la postura de ciberseguridad

¿Cómo se validará el cumplimiento de todas las obligaciones de ciberseguridad de las empresas críticas que hemos ido desgranando hasta ahora? La normativa contempla dos vías:

  1. Las empresas catalogadas como entidades importantes (la gran mayoría) podrán decidir entre conseguir una certificación de conformidad, expedida por organizaciones especializadas o someterse a una autoevaluación de su postura de ciberseguridad.
  2. Las empresas calificadas como entidades esenciales (aquellas que operen en sectores de alta criticidad, tengan más 250 trabajadores y hayan registrado una facturación anual superior a los 50 millones de euros) tendrán que obtener la certificación de conformidad sí o sí.

8. Formación continua en ciberseguridad a los directivos y al resto de la plantilla

La necesidad de formar y concienciar sobre los riesgos de los ciberataques también se incluye en el catálogo de obligaciones de ciberseguridad de las empresas críticas.

Así, la ley establece que los cargos directivos:

  1. Deben recibir una formación continua en este ámbito que les permita ser conscientes de los riesgos a los que se enfrenta la organización, poder analizar las medidas implementadas y sean capaces de comprender las consecuencias de un incidente de seguridad grave para la continuidad de negocio.
  2. Son los responsables de garantizar que el conjunto de la plantilla de una empresa recibe formación periódica sobre buenas prácticas de ciberseguridad.

9. Colaboración con las autoridades en sus tareas de control de las obligaciones de ciberseguridad de las empresas críticas

Más allá del deber de las empresas de obtener un certificado que garantice que cumplen las obligaciones de ciberseguridad de las empresas críticas o, en su defecto, de someterse a una autoevaluación, la ley faculta a las autoridades públicas para realizar un amplio abanico de actuaciones de control: inspecciones, solicitud de información, aprobación de instrucciones y recomendaciones, etc.

Ante las actividades de control, las empresas deben prestar su máxima colaboración y no entorpecer los trabajos de los profesionales de las autoridades de control.

Además, las autoridades podrán imponer multas para sancionar todos los incumplimientos de las obligaciones de ciberseguridad de las empresas críticas.

10. Poner fin a actuaciones que vulneren las obligaciones de ciberseguridad de las empresas críticas

Igualmente, dentro de sus actividades de control, las autoridades públicas podrán exigir a las compañías que pongan fin al incumplimiento de las obligaciones de ciberseguridad de las empresas críticas. Así, podrán fijar plazos temporales para que las empresas cesen en sus actuaciones o implementen las medidas establecidas por las autoridades.

Además, las autoridades tienen la capacidad de establecer multas coercitivas para ejercer presión sobre las compañías incumplidoras y sus cargos directivos. De hecho, es posible suspender certificaciones de empresas y apartar a los directores generales de las compañías que infrinjan la ley de su puesto hasta que se subsanen las deficiencias detectadas.

En definitiva, la futura Ley de Coordinación y Gobernanza de la Ciberseguridad va a imponer a 6.000 compañías españolas un amplio catálogo de obligaciones de ciberseguridad de las empresas críticas para garantizar que están preparadas frente a los ciberataques y pueden resistir ante ellos sin que menoscaben su operatividad de manera grave.

Ante el nivel de complejidad y exigencia de las obligaciones de ciberseguridad de las empresas críticas es fundamental que estas organizaciones:

  • Comiencen a adaptar su estrategia de seguridad.
  • Cuenten con el asesoramiento de abogados especializados en Derecho Tecnológico para garantizar que cumplen todas las exigencias legales y, así, evitar conflictos y multas que pueden llegar a ser millonarias.

Contacta con nosotros

    Artículo anterior
    ¿Se pueden oponer cláusulas abusivas en una ejecución hipotecaria?
    Artículo siguiente
    Tarjetas revolving abusivas por falta de transparencia. Los 3 criterios del TS
    Paula Couto
    Paula Couto
    Mi área de interés está en la intersección entre el Derecho Penal y la Empresa. En Lex Hoy desgrano las implicaciones de las leyes del código penal para mantener informados a ciudadanos y empresas sobre sus derechos y obligaciones.

    Artículos populares

    LEXHOY

    Nosotros

    Mantente informado sobre las controversias y noticias jurídicas más recientes. LexHoy te ofrece una visión clara, rigurosa y comprensible del complejo mundo del derecho y sus consecuencias.

    Últimos artículos

    El complemento de brecha de género en la pensión es discriminatorio. La sentencia del TJUE en 5 claves

    Laboral y seguridad social 0
    La Justicia europea ha dictaminado que el complemento de brecha de género en las pensiones contributivas discrimina a los hombres

    ¿Un negocio puede sacarle una foto al DNI de un cliente para acreditar su identidad?

    Tecnología 0
    Una empresa de grúas ha recibido una multa por sacarle una foto al DNI de un cliente usando el móvil de un empleado

    Tablas del Banco de España sobre tarjetas revolving 2025

    Bancario y recuperaciones 0
    Las tablas del Banco de España sobre tarjetas revolving ayudan a saber si los intereses de un producto son demasiado elevados

    Más popular

    El complemento de brecha de género en la pensión es discriminatorio. La sentencia del TJUE en 5 claves

    Laboral y seguridad social 0
    La Justicia europea ha dictaminado que el complemento de brecha de género en las pensiones contributivas discrimina a los hombres

    ¿Un negocio puede sacarle una foto al DNI de un cliente para acreditar su identidad?

    Tecnología 0
    Una empresa de grúas ha recibido una multa por sacarle una foto al DNI de un cliente usando el móvil de un empleado

    Tablas del Banco de España sobre tarjetas revolving 2025

    Bancario y recuperaciones 0
    Las tablas del Banco de España sobre tarjetas revolving ayudan a saber si los intereses de un producto son demasiado elevados

    Subscríbete

    © LEXHOY - 2024. Todos los derechos reservados