Enmienda a la Ley del Sistema Nacional de Ciberseguridad: Nuevas Obligaciones y Sanciones
La ley implementa la Directiva NIS 2, ampliando la lista de entidades esenciales e importantes (incluyendo sectores de energía, salud, transporte, aguas residuales y gestión de servicios TIC). Introduce nuevos requisitos para la gestión de riesgos, notificación de incidentes (alerta temprana en 24h, notificación en 72h) y auditorías de seguridad. También establece un procedimiento para designar a proveedores de hardware o software como proveedores de alto riesgo y prevé importantes sanciones financieras por incumplimiento.
Puntos clave
Ampliación de la lista de entidades cubiertas por la ley a nuevos sectores (p. ej., aguas residuales, gestión de servicios TIC, espacio) y clasificación en entidades esenciales e importantes.
Introducción de un sistema de notificación de incidentes graves en tres etapas: alerta temprana (24h), notificación del incidente (72h) e informe final (un mes).
Posibles sanciones financieras: hasta 10 millones de euros o el 2% de la facturación para entidades esenciales, y hasta 7 millones de euros o el 1,4% de la facturación para entidades importantes.
CSIRT NASK creará un servicio en línea que permitirá a las personas verificar si sus datos (p. ej., PESEL, nombre de usuario, correo electrónico) han sido filtrados debido a un incidente.
El ministro competente en informatización puede designar a un proveedor de hardware o software como proveedor de alto riesgo y ordenar la retirada de sus productos en un plazo de hasta 7 años (o 4 años para funciones críticas).
94%
RESULTADOS DE LA VOTACIÓN
2026-01-23
A favor
407
En contra
10
Abstención
17
Estado:
Promulgado
Registre su posición para la auditoría.
¿Por qué importa tu voto?
Crea una prueba cruda e innegable. La Voluntad Cívica proporciona datos permanentes para verificar la lealtad del Gobierno hacia sus ciudadanos
(explicado aquí).
Empieza a registrarlo ahora.