![[I-D] Iván Sánchez (CISO de Rural Servicios informáticos), Javier Tomás (Director de Ciberseguridad de Cipherbit-Grupo Oesía), Alfonso Muñoz (EL ESPAÑOL-Invertia), Josep Bardallo (CISO y DPO de Grupo Recoletas) y Javier Galindo (CISO de Moeve).](https://s1.elespanol.com/2025/02/27/invertia/mis-finanzas/fondos-de-inversion/927417694_253468066_1024x576.png)
[I-D] Iván Sánchez (CISO de Rural Servicios informáticos), Javier Tomás (Director de Ciberseguridad de Cipherbit-Grupo Oesía), Alfonso Muñoz (EL ESPAÑOL-Invertia), Josep Bardallo (CISO y DPO de Grupo Recoletas) y Javier Galindo (CISO de Moeve).
La directiva de ciberseguridad NIS2 "transformará el modelo de gobernanza" del tejido empresarial español
Expertos de Cipherbit-Grupo Oesía, Moeve, Grupo Recoletas y Rural Servicios Informáticos debaten las implicaciones de la nueva regulación europea.
Más información: Las empresas españolas ante la transposición de NIS2 – desafíos y preparación para el cumplimiento.
La digitalización de la sociedad ha supuesto que la ciberseguridad se haya convertido en una variable clave para muchas organizaciones. Por eso, para garantizar unas buenas prácticas en este ámbito, la Unión Europea ha aprobado hace apenas un mes la regulación NIS2.
Esta directiva refuerza las medidas de ciberseguridad establecidas por la Directiva NIS original. Su objetivo es lograr un elevado nivel de ciberseguridad en toda la UE, ampliando su ámbito de aplicación a más sectores y estableciendo requisitos más estrictos para la gestión de riesgos y la notificación de incidentes.
Sin embargo, su puesta en marcha no solo va a suponer un cambio a nivel tecnológico, sino "también en el modelo de gobernanza de las empresa", tal y como explica Javier Tomás, director de Ciberseguridad de Cipherbit-Grupo Oesía, en un debate organizado por EL ESPAÑOL para hablar sobre los desafíos que presenta esta normativa para las empresas.
En este debate en torno a las implicaciones de la NIS2 en los distintos sectores empresariales han participado Javier Galindo, CISO de Moeve; Josep Bardallo, CISO y DPO de Grupo Recoletas e Iván Sánchez, CISO de Rural Servicios informáticos; además del propio Javier Tomás.
Esta normativa europea establece evaluaciones de riesgos y requisitos para la notificación de incidentes, y propone la creación del Centro Nacional de Ciberseguridad, entre otras medidas. Sin embargo, tendrá un impacto desigual sobre las diferentes empresas.
Por un lado, Iván Sánchez y Javier Galindo, como parte del sector financiero y energético -respectivamente-, señalan que la NIS2 "viene a reforzar las capacidades" de normativas ya existentes. Por lo tanto, estos dos sectores ya cuentan con "un marco de ciberseguridad bastante maduro".
No ocurre lo mismo con el sector sanitario, para el que Josep Bardallo señala que esta regulación supone "un gran cambio porque nos implica gestionar incidentes en tiempo real con un regulador". Además, NIS2 añade la responsabilidad de la dirección de las empresas en materia de ciberseguridad, lo que convierte a estas entidades en "algo más financiero, mucho más estructurado y orientado a riesgos".
Por eso, Bardallo explica que el sector sanitario "lo tiene más complicado" para adaptarse a esta regulación europea, a diferencia de otros "que ya hace años que están más regulados en este aspecto".
Mejoras necesarias
Si bien el anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad que define las entidades sujetas a la NIS2 fue aprobado por el Consejo de Ministros el 14 de enero, los cuatro ponentes en el debate organizado por este diario reflexionan que esta normativa necesita una serie de mejoras.
Según Iván Sánchez, "ya está anunciado el Centro Nacional de Ciberseguridad, pero el procedimiento tramitado por Interior no es muy claro. En los próximos meses tendremos que ver claridad en varios aspectos, por ejemplo, a quién tenemos que notificar las incidencias. Ya hay ciudades que se están postulando para ser la sede del futuro centro, pero primero habrá que saber qué va a hacer".
Iván Sánchez López, CISO de Rural Servicios informáticos.
En cuanto a las notificaciones de incidencias que las empresas tienen que hacer en el marco de este sistema, Javier Galindo reflexiona que "debería haber un mecanismo unificado con unos plazos estándares para los distintos tipos de incidencias y con diferentes prioridades". Pero ante todo, Galindo valora que este sistema "debe ser sencillo".
Otra cuestión importante es que la entrada de la NIS2 va a suponer que las empresas tengan que hacer "una serie de inversiones", que serán mayores o menores "dependiendo del nivel de madurez en ciberseguridad" que tengan, detalla Javier Tomás. Un dinero que, a su juicio, "bienvenido será si es bien utilizado".
Sobre esto, Josep Bardallo detalla que "en el anteproyecto de ley hay una memoria técnica en la que el propio Gobierno calcula el coste sobre las empresas, y dice que para las principales serán más de 100.000 euros de gasto que se tiene que implementar, y para las esenciales algo más de 1.000.000 de euros".
Las empresas españolas ante la transposición de NIS2 – Desafíos y preparación para el cumplimiento
Claridad y concisión
En términos generales, Josep Bardallo ve un gran punto positivo en la implementación de la NIS2: "Todos los CISOS -responsables de la estrategia de seguridad de una entidad- estamos contentos porque nos permite conseguir lo que siempre hemos defendido: que se involucre a toda la empresa en materia de ciberseguridad de manera continua".
Sin embargo, de cara a la puesta en marcha definitiva de esta normativa, pide "que haya una manera de poder optimizar los esfuerzos que vamos a tener que hacer para su cumplimiento".
Por su parte, para Javier Galindo la NIS2 definitiva debe ser "más clara y concisa, para que todos tengamos claro el marco de controles con el que vamos a tener que cumplir, a quién vamos a tener que notificar y cómo, que haya una ventanilla única que nos permita hacerlo de manera sencilla con los diferentes actores..."
