La UE dice basta y llevará a España a los tribunales por incumplir con las nuevas normas de ciberseguridad
LEGISLACIÓN
La Comisión Europea ha emitido un "dictamen motivado", el último aviso legal antes de poder llevar el caso ante el Tribunal de Justicia de la Unión Europea, a 19 países
- Àlex Roig
Periodista - Barcelona
La ciberseguridad se ha convertido en una de las grandes prioridades de la Unión Europea en los últimos años. El aumento constante de ataques digitales contra empresas, administraciones públicas e infraestructuras críticas internacionalmente ha obligado a Bruselas a reforzar su marco normativo para intentar elevar el nivel de protección tecnológica en todos los países miembros.
En un mercado digital cada vez más interconectado, las instituciones comunitarias consideran que la seguridad informática no puede depender únicamente de las decisiones de cada Estado, pues los acuerdos de un solo país pueden afectar a todos en su conjunto. Por ese motivo, la UE ha impulsado nuevas reglas comunes destinadas a que gobiernos y empresas adopten estándares más exigentes para prevenir ataques y responder ante incidentes digitales.
Sin embargo, no todos los países avanzan al mismo ritmo. La Comisión Europea ha dado un paso más en su presión sobre España por el retraso en aplicar la nueva directiva europea de ciberseguridad, conocida como NIS2. Concretamente, Bruselas ha emitido un "dictamen motivado", el último aviso legal antes de poder llevar el caso ante el Tribunal de Justicia de la Unión Europea, a 19 países, entre ellos España, Francia, Alemania, Países Bajos, Austria, Polonia, Portugal, Finlandia o Suecia, entre otros.
Esta normativa forma parte de la Directiva (UE) 2022/2555 y pretende elevar el nivel de protección de redes y sistemas de información en todo el continente. Entre otras cuestiones, obliga a empresas y organismos públicos de sectores considerados críticos a reforzar la gestión de riesgos, mejorar sus sistemas de seguridad y comunicar rápidamente cualquier incidente relevante.
El problema es que los Estados miembros tenían hasta el 17 de octubre de 2024 para incorporar esta normativa a su legislación nacional. Y España no ha completado todavía ese proceso, lo que ha llevado a Bruselas a considerar que los esfuerzos realizados hasta ahora han sido insuficientes para cumplir con las obligaciones comunitarias.
A la misma vez, el Gobierno de España trabaja actualmente en el anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad, que servirá como base para adaptar la normativa europea al ordenamiento jurídico español. No obstante, el retraso en su tramitación parlamentaria ha generado incertidumbre y ha obligado a acelerar los plazos para evitar posibles sanciones.
Pero, como hemos mencionado, el alcance de esta normativa no se limita a las grandes compañías. La directiva también afecta a numerosas empresas que forman parte de las cadenas de suministro de sectores estratégicos, por lo que miles de pymes podrían verse obligadas a elevar sus estándares de seguridad para seguir operando con organizaciones consideradas esenciales.