Hay normas que llegan sin hacer mucho ruido y se convierten en un problema cuando ya es tarde para prepararse. La Ley de Coordinación y Gobernanza de la Ciberseguridad no va a ser una de esas, porque todavía estamos a tiempo. El Parlamento la está tramitando ahora mismo y, aunque la aprobación definitiva llegará a lo largo de 2026, los pasos para estar en regla se pueden dar ya sin esperar a que nadie te lo exija.
¿De qué trata esta ley?
Es la transposición española de la directiva europea NIS2, que busca establecer un nivel mínimo común de ciberseguridad en todos los países de la Unión. Lo que cambia respecto a lo que existía antes no es tanto el concepto —proteger los sistemas— como el nivel de exigencia y, sobre todo, las consecuencias de no hacerlo. La Comisión Europea ya abrió un expediente a España en 2025 por el retraso en incorporar la directiva, lo que da una idea bastante clara de la prioridad que tiene este asunto a nivel europeo.
¿A quién afecta?
Con carácter general, la ley aplica a empresas con más de 50 empleados o más de 10 millones de euros de facturación anual. Si no llegas a esos umbrales, probablemente quedes fuera del ámbito directo. Pero hay excepciones: proveedores de servicios DNS, registros de dominios, empresas de telecomunicaciones y entidades públicas entran en el ámbito independientemente de su tamaño.
Y luego está el efecto que más nos preguntan en Infoexpo: si eres proveedor de una empresa que sí está obligada, lo habitual es que esa empresa empiece a exigirte garantías de seguridad para seguir trabajando contigo. Ya lo vemos en algunos sectores. El cumplimiento se contagia hacia abajo en la cadena de suministro, y conviene saberlo antes de que te llegue la solicitud.
Las tres obligaciones que cambian las reglas
Resumiendo lo que establece la norma, las empresas afectadas tendrán que cumplir con tres bloques principales:
- Gestión activa del riesgo. No basta con instalar herramientas y olvidarse. Hay que documentar los riesgos, revisarlos con regularidad y tener un plan de acción por escrito que lo demuestre si alguien lo pide.
- Notificación de incidentes en 24 horas. Si sufres un ciberataque significativo, tienes que avisar al CSIRT nacional antes de que pasen 24 horas. No cuando lo hayas resuelto, no cuando puedas. 24 horas. Y entregar un informe completo en 72.
- Responsabilidad directa de la dirección. Esto es lo que más nos ha llamado la atención. Los administradores y miembros del equipo directivo pueden ser considerados personalmente responsables en caso de incumplimiento grave. Eso cambia bastante el tono de la conversación en muchos consejos de administración.
Las sanciones pueden llegar al 2% del volumen de negocio global anual, con un techo de 10 millones de euros en los casos más graves.
Lo que puedes hacer ahora mismo, sin esperar
La ley no está aprobada todavía, sí. Pero los pasos preparatorios son buenas prácticas con independencia de lo que diga cualquier normativa. Y si cuando entre en vigor ya tienes parte del trabajo hecho, mucho mejor.
- Un inventario de sistemas críticos: qué herramientas, qué datos y qué accesos son imprescindibles para que tu empresa siga funcionando si algo va mal.
- Un plan básico de gestión de riesgos por escrito. No tiene que ser un documento de doscientas páginas, pero tiene que existir y estar actualizado.
- Un protocolo de notificación de incidentes: quién avisa a quién, en qué orden y con qué información mínima. Cuando ocurre algo, no es el mejor momento para improvisar.
- Una revisión de los contratos con proveedores tecnológicos. Pregunta qué medidas de seguridad tienen ellos, porque la norma también mira hacia la cadena de suministro.
En Infoexpo llevamos tiempo aplicando este tipo de medidas en nuestra propia operativa y ayudando a los clientes a entender qué necesitan tener en orden. Si tienes dudas sobre por dónde empezar, escríbenos sin compromiso. No hay que esperar a que llegue una multa para tomarse esto en serio.