Articulo
24 enero 2025

La Directiva NIS-2 está más cerca

La entrada en vigor de la nueva Ley de Ciberseguridad en España, que transpondrá la Directiva NIS-2 de la UE, promete transformar radicalmente la gestión de la ciberseguridad en el sector energético, imponiendo exigentes obligaciones a empresas y proveedores.

El pasado 14 de enero el Consejo de Ministros aprobó el anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad que traspone al ordenamiento jurídico español la Directiva (UE) 2022/2555 del 14 de diciembre de 2022, conocida como NIS-2, acordando además su tramitación por la vía de urgencia.

En la práctica esto supone, por un lado, un paso más hacia la próxima entrada en vigor de la NIS-2 en España y, por otro, hacia la clarificación de los detalles de esta a través de la publicación definitiva de la Ley.

De acuerdo con el Art 3 del anteproyecto, la Ley de Coordinación y Gobernanza de la Ciberseguridad se aplicará a las entidades públicas o privadas que tengan su residencia fiscal en España, y que se encuentren dentro de los sectores de alta criticidad y otros sectores críticos recogidos en los Anexos I y II, cuando tengan la consideración de medianas o grandes empresas porque cuentan con 50 o más trabajadores, y tengan un volumen de negocios anual o un balance general anual que supera los 10 millones de euros.

Al ser el sector de la Energía clasificado como de alta criticidad (Anexo I), incluyendo los subsectores de Electricidad, Crudo, Gas Hidrógeno y Sistemas Urbanos de Calefacción y Refrigeración, la entrada en vigor de la NIS-2, a través de esta Ley de Coordinación y Gobernanza de la Ciberseguridad, va a suponer un impacto fuerte en los diferentes participantes del Sector, como pueden ser empresas de transporte, distribución y almacenamiento de la energía, productores y generadores, así como gestores y operadores.

Este impacto será mayor o menor para las empresas del sector dependiendo de si la entidad es calificada como esencial (empresas de más de 250 trabajadores y volumen anual superior a 50 millones de euros o un balance general anual superior a 43 millones), o entidad importante (aquellas que perteneciendo al sector no puedan considerarse esenciales), dejando además a criterio de las autoridades la clasificación como esencial de cualquier otra entidad.

El Art.4 del anteproyecto de Ley establece la obligación a las empresas del sector de evaluar su condición de entidad esencial o importante y si ha lugar, en el plazo de tres meses remitir a las autoridades de control una serie de información con datos de la entidad, rangos IP y contacto del Responsable de Seguridad de la Información.

El Responsable de Seguridad de la Información de la entidad (Art 16), ejercerá las labores de punto de contacto único y coordinación técnica con las autoridades de control y con los CSIRT nacionales de referencia y, en el caso de entidades esenciales, deberá estar acreditado por el Ministerio del Interior de acuerdo con lo previsto en la Ley 5/2014, de 4 de abril, de Seguridad Privada.

Régimen Sancionador

Junto con los riesgos derivados de posibles ataques e incidentes de seguridad, el Anteproyecto establece unas obligaciones concretas y expone a las entidades a impactos adicionales derivados de posibles sanciones por incumplimientos.

En el Capítulo VII del anteproyecto se establece el Régimen Sancionador que:

  • Fija en las entidades esenciales e importantes la responsabilidad y establece que serán los miembros de los órganos de dirección los que respondan solidariamente de las infracciones que éstas cometan (Art. 35)
  • Clasifica las infracciones en muy graves, graves y leves (Art. 38)
  • Detalla cada uno de esos niveles de infracción (Arts. 39, 40, 41)
  • Establece, en su Art 42, sanciones por incumplimiento, para las entidades privadas, que pudieran llegar en el caso de las infracciones muy graves a diez millones de euros o el 2% de su volumen de negocios anual total mundial en el caso de entidades esenciales, o 7 millones o el 1,4% de su volumen de negocio anual total mundial para las entidades importantes.
  • Exime de sanción a las entidades del Sector Público (Art. 43)

¿Qué obligaciones conlleva para las entidades?

Las obligaciones y medidas para la gestión de riesgos de la ciberseguridad que la NIS-2 recogía fundamentalmente en los artículos 20 y 21 de la directiva, se trasponen en el capítulo III del Anteproyecto.

  • El Art. 14 establece obligaciones para los órganos de dirección de las compañías relacionadas con la gobernanza de la ciberseguridad y la obligatoriedad de formación en ciberseguridad para sus miembros.
  • Identifica al Centro de Ciberseguridad Nacional como el órgano competente para determinar las medidas organizativas, técnicas y operativas que las entidades esenciales e importantes deberán implantar para gestionar sus riesgos, que deberán tomar como base tanto las contempladas en el Esquema Nacional de Seguridad como en normas europeas e internacionales equivalentes (Art 15)
  • Establece, para las entidades obligadas por Real Decreto 311/2022 de 3 de mayo, el correspondiente Perfil de Cumplimiento Específico del Esquema Nacional de Seguridad para las entidades esenciales e importantes acreditará el cumplimiento de las medidas de gestión de riesgos de ciberseguridad de esta norma. Lo mismo resultará de aplicación para aquellas entidades que no estando obligadas obtengan voluntariamente una evaluación satisfactoria contra el Perfil de Cumplimiento Específico del Esquema Nacional de Seguridad. (Art 15).
  • El aseguramiento de la cadena de suministro, que obliga a las entidades a asegurar que proveedores o terceros cumplan con los mismos estándares de ciberseguridad, lo cual implica que cada entidad establezca mecanismos de control proactivo de los riesgos derivados de los proveedores, a través de políticas y procedimientos para identificación y evaluación del riesgo, el establecimiento de requisitos contractuales específicos sobre ciberseguridad, así como la supervisión continua de los proveedores.

Establece, en su Art.18 la obligatoriedad de la notificación a la autoridad competente o CSIRT nacional de incidentes significativos dentro de las 24 horas siguientes a la detección inicial

¿Cómo puedo prepararme?

El Anteproyecto establece una serie de obligaciones, pero no clarifica el cómo se pueden cumplir con ellas, más allá de decir que los mecanismos o controles que se establezcan para las entidades y sus proveedores, han de ser proporcionales al riesgo a gestionar.

Dicho esto, y a la espera de concreción de los detalles una vez publicada la Ley, la mejor manera para asegurar el cumplimiento de las obligaciones, o al menos encaminarnos de manera adecuada a ese objetivo, es adherir los procedimientos, medidas y controles a estándares reconocidos y certificables, entre los que podríamos destacar ISO 27001 en el ámbito internacional o Esquema Nacional de Seguridad (ENS) en el ámbito español.

Conclusiones

La previsible llegada a lo largo de este 2025 de la Ley de Coordinación y Gobernanza de la Ciberseguridad, que traspone Directiva (UE) 2022/2555, causará un impacto profundo en todo el sector de la Energía, al imponer una serie de obligaciones a todas las entidades participantes del sector y sus proveedores.

Unido a la exposición al riesgo derivado de las amenazas cibernéticas, obliga a todos los actores del sector a un análisis profundo de las implicaciones que nos conlleva, en función de nuestras circunstancias, a implementar planes para su cumplimiento.

¿Te ha parecido útil este contenido?

 
Más información en: https://www.cic.es/
Roberto Hidalgo Cisneros
CIC Consulting
Director de Infraestructuras y Ciberseguridad
bool(false) object(WP_Post)#18279 (24) { ["ID"]=> int(1287) ["post_author"]=> string(1) "2" ["post_date"]=> string(19) "2019-05-16 16:55:36" ["post_date_gmt"]=> string(19) "2019-05-16 14:55:36" ["post_content"]=> string(3534) "

CIC es un grupo de empresas que cuenta con más de 300 profesionales con un carácter dinámico e innovador y desarrolla su actividad por todo el mundo ofreciendo servicios personalizados de consultoría, proyectos a medida y soluciones verticalizadas en el entorno TIC, posibilitando la optimización de los procesos y servicios de operación en infraestructuras y negocios. 

CIC cuenta con  más de 20 años de experiencia en el sector de Utilities, concretamente en las áreas de distribución, generación y comercialización de energía, donde hemos desarrollado Sistemas para Viesgo, Endesa, Iberdrola, etc. Además, disponemos de los siguientes productos propios con implantación internacional:

* SGRwin sistema de gestión de redes de trasmisión digital. Permite gestionar las comunicaciones consolidándolas bajo una única plataforma: inventariar, supervisar, provisionar y configurar los equipos de múltiples fabricantes presentes en la red. Network Management System NMS www.sgrwin.com

* IDboxRT , permite monitorizar procesos industriales, energéticos y smart, integrando todos los orígenes de información en tiempo real, procesando las señales recogidas y ofreciendo herramientas de supervisión y análisis que permitan tomar decisiones de operación y negocio. www.idbox.com Concretamente en el sector Smart Energy, aporta valor en la toma de decisiones estratégicas para el ahorro y reducción del consumo energético de la compañía y en la implantación de MAE´s, convirtiéndose así en el mejor aliado para la implantación de un SGE (Sistema de Gestión Energética) como describe la ISO 50001.

* FIELDEAS easy field services. Es la Solución tecnológica de Movilidad Empresarial. Conectamos a los trabajadores con su empresa, desde cualquier dispositivo móvil, con la máxima seguridad, en tiempo real ,y de la forma más eficiente para su negocio. Aportando total gestión, visibilidad y control sobre los procesos de negocio. Con dilatada experiencia en el sector de Energía y Utilities hemos desarrollado proyectos en el ámbito de la gestión comercial, servicio técnico y obras. Digitalizando procesos como lectura de contadores, ciclo comercial, gestión incidencias cliente e infraestructuras, fraude, mantenimento preventivo y correctivo, inspecciones técnicas, órdenes de servicio, control de inventario, etc. www.fieldeas.com

Nuestro valor añadido se basa en acompañar a nuestros clientes durante todo el proceso desde la consultoría inicial hasta el soporte y mantenimiento una vez finalizado el proyecto. Lo que se traduce en una garantía del cumplimiento de sus expectativas.

" ["post_title"]=> string(27) "CIC Consulting Informático" ["post_excerpt"]=> string(2593) "CIC es un grupo de empresas que cuenta con más de 300 profesionales con un carácter dinámico e innovador y desarrolla su actividad por todo el mundo ofreciendo servicios personalizados de consultoría, proyectos a medida y soluciones verticalizadas en el entorno TIC, posibilitando la optimización de los procesos y servicios de operación en infraestructuras y negocios. CIC cuenta con más de 20 años de experiencia en el sector de Utilities, concretamente en las áreas de distribución, generación y comercialización de energía, donde hemos desarrollado Sistemas para Viesgo, Endesa, Iberdrola, etc. Además, disponemos de los siguientes productos propios con implantación internacional: sistema de gestión de redes de trasmisión digital. Permite gestionar las comunicaciones consolidándolas bajo una única plataforma: inventariar, supervisar, provisionar y configurar los equipos de múltiples fabricantes presentes en la red. Network Management System NMS IDboxRT , permite monitorizar procesos industriales, energéticos y smart, integrando todos los orígenes de información en tiempo real, procesando las señales recogidas y ofreciendo herramientas de supervisión y análisis que permitan tomar decisiones de operación y negocio. Concretamente en el sector Smart Energy, aporta valor en la toma de decisiones estratégicas para el ahorro y reducción del consumo energético de la compañía y en la implantación de MAE´s, convirtiéndose así en el mejor aliado para la implantación de un SGE (Sistema de Gestión Energética) como describe la ISO 50001. FIELDEAS easy field services. Es la Solución tecnológica de Movilidad Empresarial. Conectamos a los trabajadores con su empresa, desde cualquier dispositivo móvil, con la máxima seguridad, en tiempo real ,y de la forma más eficiente para su negocio. Aportando total gestión, visibilidad y control sobre los procesos de negocio; Con dilatada experiencia en el sector de Energía y Utilities hemos desarrollado proyectos en el ámbito de la gestión comercial, servicio técnico y obras. Digitalizando procesos como lectura de contadores, ciclo comercial, gestión incidencias cliente e infraestructuras, fraude, mantenimento preventivo y correctivo, inspecciones técnicas, órdenes de servicio, control de inventario, etc. Nuestro valor añadido se basa en acompañar a nuestros clientes durante todo el proceso desde la consultoría inicial hasta el soporte y mantenimiento una vez finalizado el proyecto. Lo que se traduce en una garantía del cumplimiento de sus expectativas." ["post_status"]=> string(7) "publish" ["comment_status"]=> string(4) "open" ["ping_status"]=> string(4) "open" ["post_password"]=> string(0) "" ["post_name"]=> string(26) "cic-consulting-informatico" ["to_ping"]=> string(0) "" ["pinged"]=> string(0) "" ["post_modified"]=> string(19) "2025-01-21 11:25:04" ["post_modified_gmt"]=> string(19) "2025-01-21 10:25:04" ["post_content_filtered"]=> string(0) "" ["post_parent"]=> int(0) ["guid"]=> string(67) "https://enertic.plug-in.es/organizacion/cic-consulting-informatico/" ["menu_order"]=> int(0) ["post_type"]=> string(12) "organizacion" ["post_mime_type"]=> string(0) "" ["comment_count"]=> string(1) "0" ["filter"]=> string(3) "raw" }
Smart Energy

Te puede interesar

Legislación NIS2, una oportunidad para la reducción de riesgos de ciberseguridad con impacto en la eficiencia energética y sostenibilidad.
24 Ene 2025
Hagamos que las cosas no ocurran. El arte de ganar batallas antes de que empiece la guerra.
24 Ene 2025
Mesa redonda Energía e Inteligencia Artificial
22 Ene 2025
El Gobierno andaluz respalda con 9 millones en ayudas la mejora de la eficiencia energética de siete industrias
10 Ene 2025
Circutor optimiza la eficiencia energética de Nargesa
10 Ene 2025
Optimización del autoconsumo energético con un sistema autónomo y baterías de segunda vida
20 Diciembre 2024
La transición energética hacia un modelo más sostenible y la digitalización de las empresas
17 May 2019
Entrevista a Carlos Pequerul Herrero, Smart Monitoring Consultant de CIC Consulting Informático
21 Feb 2019