La nueva ley de ciberseguridad: lo que el sector público necesita saber

Objetivo y relación con la Directiva NIS2

El trasfondo de la Ley de Ciberseguridad es la nueva Directiva NIS 2 (Seguridad de las Redes y de la Información 2) de la UE, que se adoptó en 2022 para elevar el nivel de ciberseguridad en toda la UE. El objetivo es ampliar y endurecer los requisitos de la anterior Directiva NIS, de modo que se cubran más sectores y todos los actores relevantes adopten medidas más sólidas contra las amenazas cibernéticas. La Ley de Ciberseguridad sueca aplica la Directiva a nivel nacional y establece requisitos más claros para el trabajo sistemático en materia de seguridad, la gestión de riesgos, la notificación de incidentes y la responsabilidad de la gestión. El objetivo es reforzar la protección de las infraestructuras críticas y los servicios esenciales, garantizando que tanto el sector público como el privado trabajen de forma proactiva en materia de ciberseguridad.

¿Qué actividades públicas están cubiertas?

La ley se aplica a una amplia gama de operadores tanto del sector privado como del público. En el sector público, esto abarca básicamente todos los municipios, regiones y una serie de organismos gubernamentales. Según la decisión del Gobierno, las autoridades de preparación para emergencias de Suecia (autoridades centrales de preparación para crisis) están, por ejemplo, cubiertas por la ley como punto de partida. Además, la ley también cubre a los organismos públicos y las empresas que operan en los sectores enumerados en la Directiva NIS2, siempre que cumplan determinados criterios (por ejemplo, el tamaño). Esto significa que las actividades públicas en ámbitos como el suministro de energía, el transporte, la salud y la asistencia médica, el agua potable, las infraestructuras digitales y la administración pública están cubiertas por la ley. Se incluyen todas las regiones y municipios, independientemente de su tamaño, lo que supone una ampliación a nivel nacional: la NIS2 exigía principalmente que se incluyeran las autoridades centrales y regionales, pero Suecia ha optado por incluir a los municipios con el fin de aumentar la seguridad en todo el sector público.

Actores esenciales e importantes

La ley divide a los actores en dos categorías: operadores esenciales e importantes. Los operadores esenciales son aquellos que se consideran más críticos para la sociedad. Entre ellos se incluyen los organismos gubernamentales, los municipios y regiones más grandes y las empresas más grandes de sectores críticos como el suministro de energía, la asistencia sanitaria, el transporte, la banca y la infraestructura digital. Estos operadores suelen tener más de 50 empleados o una facturación significativa, lo que corresponde al menos a una empresa de tamaño medio. Los operadores importantes son otros operadores cubiertos por la ley pero no clasificados como esenciales, por lo que no son tan críticos para la sociedad, pero siguen siendo importantes para su funcionamiento. Algunos ejemplos son los proveedores de servicios informáticos y en la nube, los contratistas o las empresas de sectores como la alimentación, la gestión de residuos o la fabricación de productos farmacéuticos. La clasificación como esencial/importante puede afectar a los niveles de supervisión y sanción; en general, los operadores esenciales están sujetos a una supervisión algo más estricta (por ejemplo, más auditorías) y a sanciones potencialmente más elevadas en caso de incumplimiento. Sin embargo, todos los operadores sujetos a la ley están sujetos a requisitos de seguridad y notificación fundamentalmente similares. Por ejemplo, si prestas servicios a un organismo gubernamental o a un municipio que está cubierto, ese cliente te impondrá requisitos de seguridad elevados en su cadena de suministro. Se espera que los actores del sector público tengan en cuenta la ciberseguridad en las adquisiciones y los contratos, de modo que sus proveedores también mantengan un buen nivel de seguridad. En otras palabras, los requisitos se extienden por todo el ecosistema, algo que es importante saber para cualquiera que colabore con el sector público.

Requisitos para las medidas de seguridad

Una parte fundamental de la ley es el requisito de implementar medidas de seguridad adecuadas para proteger las redes y los sistemas de información. Cada organización afectada debe tomar medidas técnicas, operativas y organizativas que sean proporcionadas a los riesgos para prevenir y gestionar los incidentes. El trabajo de seguridad debe adoptar una perspectiva de todo riesgo, es decir, deben tenerse en cuenta todos los tipos de amenazas y escenarios, y el nivel de seguridad debe adaptarse al perfil de riesgo de la organización. La ley especifica que las medidas de seguridad deben abarcar, como mínimo, las siguientes áreas:

• Gestión y análisis de riesgos: Identificar y evaluar los riesgos para sus sistemas de información. Establecer estrategias para el análisis de riesgos y la planificación de la continuidad (cómo se mantendrán las operaciones en caso de interrupción/crisis). Esto también incluye estar preparado para la gestión de crisis en caso de ciberataques graves.
• Medidas técnicas de protección: Garantizar la protección básica, como cortafuegos, software antivirus, sistemas actualizados, autenticación sólida (por ejemplo, inicio de sesión de dos factores) y cifrado cuando sea necesario. Esto también incluye la seguridad en el desarrollo y mantenimiento de los sistemas (por ejemplo, configuraciones seguras y parches periódicos). Las medidas para controlar el acceso y gestionar los permisos del personal son importantes, al igual que la protección física de las salas de servidores y otras instalaciones.
• Gestión de incidentes: Disponga de procedimientos para detectar, gestionar y registrar incidentes (incidentes de seguridad que afectan a la disponibilidad, exactitud o confidencialidad de la información). Debe existir un proceso claro para la respuesta a incidentes, desde la detección inicial hasta la acción y las lecciones aprendidas. Se pueden realizar ejercicios de incidentes para poner a prueba los procedimientos.
  
  
• Seguridad de los proveedores y la cadena de suministro: dado que muchas empresas dependen de proveedores externos de TI y servicios en la nube, es necesario establecer requisitos para sus proveedores. Asegúrese de que los requisitos de seguridad y el seguimiento se incluyan en los acuerdos y las adquisiciones. La ley hace hincapié en la seguridad de la cadena de suministro, lo que significa que usted es responsable de garantizar que los proveedores críticos también mantengan una buena seguridad.
  
  
• Supervisión y pruebas: Disponga de procedimientos para evaluar y comprobar continuamente la eficacia de las medidas de seguridad. Por ejemplo, puede realizar auditorías internas, análisis de vulnerabilidades o contratar revisiones independientes. La autoridad supervisora también tiene derecho a realizar auditorías de seguridad, especialmente en operadores importantes. Introduzca prácticas básicas de ciberhigiene en toda la organización, por ejemplo, políticas de contraseñas seguras, copias de seguridad periódicas, el principio de acceso mínimo, etc. Todos los empleados deben recibir formación y sensibilización básicas en materia de seguridad de la información, de modo que la mentalidad de seguridad se convierta en parte de la vida cotidiana.

  Todas estas áreas de actuación están interrelacionadas y deben documentarse e integrarse en el trabajo continuo. La ley no exige la perfección ni que todas las protecciones imaginables estén ya implantadas, pero debe poder demostrar que está trabajando de forma activa, sistemática y consciente en materia de seguridad en función de los riesgos de su negocio. Seguir normas establecidas, como la ISO/IEC 27001 para la seguridad de la información, puede ser una forma de estructurar su trabajo de seguridad y cumplir los requisitos de la ley, aunque no se indique explícitamente en ella.

  Notificación de incidentes: ¿cuándo y cómo deben notificarse los incidentes?

  Otro elemento clave es la obligación de notificar los incidentes informáticos graves. La ley utiliza el término «incidente significativo» para los incidentes que alcanzan un cierto nivel de gravedad, por ejemplo, aquellos que han causado o pueden causar graves perturbaciones operativas en los servicios, daños financieros significativos o daños importantes a otras personas o empresas. Estos incidentes deben notificarse lo antes posible a la autoridad supervisora competente (el gobierno designa a la autoridad responsable de cada sector).
  
  Los plazos son muy estrictos. La información inicial sobre el incidente debe proporcionarse en un plazo de 24 horas desde que la empresa tenga conocimiento de que se ha producido un incidente significativo. (Para determinados operadores que prestan servicios de confianza cualificados, el plazo es de 24 horas; para otros, es de un máximo de 72 horas para el informe formal, pero el principio es actuar de inmediato). Este informe inicial puede ser preliminar, pero su finalidad es alertar rápidamente a la autoridad. A continuación, debe presentarse lo antes posible un informe de incidente más detallado con información más precisa sobre lo ocurrido y las medidas que se están tomando. En el plazo de un mes desde el incidente, debe presentarse un informe final que resuma el suceso o, si el incidente sigue en curso en ese momento, un informe de situación al cabo de un mes y un informe final más adelante, cuando se haya resuelto el incidente. Además de informar a las autoridades, también tiene la obligación de informar a los usuarios afectados. Si es probable que un incidente significativo tenga un impacto negativo en los servicios que presta a los usuarios (por ejemplo, causando interrupciones o pérdida de datos), debe informar de ello a los destinatarios de sus servicios tan pronto como sea oportuno. Debe explicarles lo que ha ocurrido y aconsejarles sobre las medidas de protección que pueden tomar. Del mismo modo, si tiene conocimiento de una amenaza cibernética grave que pueda afectar a sus usuarios, debe advertirles y proporcionarles recomendaciones para hacer frente a la amenaza. Esta comunicación con los usuarios y clientes es importante para reducir los daños causados por los incidentes y aumentar la transparencia.
  
  En resumen, las organizaciones del sector público deben contar con procedimientos claros para la gestión y notificación de incidentes. Esto incluye sistemas de supervisión para detectar intrusiones, disponer de un plan interno de gestión de incidentes (¿Quién hace qué en caso de un incidente informático? ¿A quién se debe informar interna y externamente?) y practicar escenarios. También hay que asegurarse de que el personal sepa cómo y a quién se deben notificar los incidentes internamente, para que no se produzcan retrasos. Para poder actuar con rapidez en un plazo de 24 horas es necesario estar preparado. El incumplimiento de las obligaciones de notificación u otros requisitos legales puede dar lugar a la intervención de la autoridad supervisora y, en el peor de los casos, a la imposición de sanciones pecuniarias. Según la directiva de la UE, las infracciones muy graves pueden acarrear multas de hasta 10 millones de euros o el 2 % del volumen de negocios, y la legislación sueca también prevé sanciones importantes. Para los actores del sector público, su reputación y confianza están en juego, por lo que existen fuertes incentivos para cumplir con los requisitos.p>

  Requisitos de formación y responsabilidad de la dirección

  Una nueva e importante disposición de la ley es el requisito de formación para la dirección. Todas las personas que ocupan puestos de alta dirección en el operador (por ejemplo, directores administrativos, consejo ejecutivo o consejo de administración, según la organización) deben recibir formación en medidas de seguridad y ciberseguridad. El objetivo es garantizar que la dirección tenga un conocimiento básico de los riesgos cibernéticos y comprenda el trabajo de seguridad necesario. La Directiva NIS2 y la legislación sueca dejan claro que la ciberseguridad es una cuestión estratégica de gestión: no basta con que el departamento de TI se ocupe de los aspectos prácticos; la alta dirección debe supervisar y controlar el trabajo de seguridad.
  
  En la práctica, esto significa que los líderes municipales y regionales, los jefes de las autoridades y similares deben asumir la responsabilidad de la seguridad de la información de la organización. La dirección debe garantizar que existan objetivos claros, recursos y una división de responsabilidades en materia de ciberseguridad en la organización. El requisito de formación tiene por objeto elevar el nivel de conocimientos para que la dirección pueda tomar decisiones informadas: deben comprender la terminología básica, estar familiarizados con la legislación pertinente, conocer los riesgos propios de la organización y ser capaces de gestionar los incidentes. La Agencia Sueca de Contingencias Civiles (MCF) ofrece cursos y orientación para ayudar a cumplir este requisito, pero cada organización es responsable de garantizar que sus directivos reciban la formación necesaria.

  Además de la dirección, es aconsejable involucrar a todo el personal mediante formación en seguridad y ejercicios periódicos. Una cultura consciente de la seguridad en la que todos los empleados sean conscientes de sus funciones (por ejemplo, informar de correos electrónicos sospechosos, seguir las directrices de gestión de la información, etc.) suele ser la mejor defensa contra los ciberataques. La ley exige explícitamente «prácticas básicas de ciberhigiene» y formación, lo que indica que el desarrollo continuo de habilidades en materia de ciberseguridad debe figurar en la agenda.

  Autoridades de supervisión en virtud del Reglamento sobre ciberseguridad

  Además de la Ley de Ciberseguridad, el Gobierno también ha adoptado el Reglamento sobre Ciberseguridad (SFS 2025:1507). El reglamento complementa la ley especificando qué autoridades son autoridades supervisoras para los diferentes sectores y tipos de actividades. Se trata de una parte fundamental del marco regulador, ya que es a estas autoridades a las que deben notificarse los incidentes y las que supervisan el cumplimiento de los requisitos de la ley. El Reglamento establece que la supervisión se divide por sectores, en consonancia con la estructura de la Directiva NIS2. Por ejemplo, se aplican los siguientes principios fundamentales:

  • La Agencia Sueca de Contingencias Civiles (MCF) tiene la responsabilidad de la coordinación general y es la autoridad supervisora de varios organismos gubernamentales y de determinadas funciones intersectoriales.
    
    
  • La Autoridad Sueca de Correos y Telecomunicaciones (PTS) es la autoridad supervisora de la infraestructura digital, los servicios de comunicaciones electrónicas y determinados proveedores de servicios digitales.
    
    
  • La Inspección de Mercados Energéticos de Suecia es responsable de la supervisión del sector energético.
    
    
  • La Agencia de Transporte supervisa el sector del transporte.
    
    
  • La Inspección de Salud y Asistencia Social (IVO) es responsable de la supervisión de la asistencia sanitaria y social.
    
    
  • La Autoridad de Supervisión Financiera es la autoridad supervisora de los agentes financieros cubiertos por la Ley.
    
    
  • Otros sectores, como el alimentario, el farmacéutico y el del agua potable, están sujetos a la supervisión de la respectiva autoridad sectorial de conformidad con el Reglamento.

  Para los municipios y las regiones, esto significa que la responsabilidad de supervisión puede variar en función de la naturaleza de la actividad. Por ejemplo, un municipio puede estar supervisado por diferentes autoridades en lo que respecta a sus operaciones informáticas, sus operaciones de agua y alcantarillado y su atención sanitaria y médica. Por lo tanto, es importante que cada organización identifique qué autoridad o autoridades de supervisión son pertinentes para sus propias actividades.
  
  El Reglamento sobre ciberseguridad también aclara que los operadores deben:

  • conocer qué autoridad supervisora es competente,
  • notificarle sus datos de contacto,
  • notificar los incidentes significativos a la autoridad competente en el plazo establecido.

  Establecer contacto con la autoridad supervisora competente en una fase temprana y seguir sus directrices es una parte importante del trabajo preparatorio previo a la entrada en vigor de la ley.

  Orientación práctica: preparativos para la entrada en vigor

  A falta de poco tiempo para el 15 de enero de 2026, es hora de que el sector público garantice el cumplimiento de la nueva ley. A continuación se ofrecen algunos pasos prácticos y consejos sobre cómo pueden prepararse los municipios, las regiones y las autoridades:

  1. Realizar un análisis de seguridad (evaluación de la situación actual): Empiece por evaluar en qué medida sus medidas actuales de seguridad de la información cumplen los requisitos de la ley. Identifique qué partes de sus operaciones están cubiertas y qué lagunas existen en sus procedimientos, políticas y medidas de seguridad técnicas. Realice un análisis de riesgos y vulnerabilidades de sus sistemas críticos: ¿qué amenazas son más relevantes y cuál podría ser la gravedad de las consecuencias? Los resultados de este análisis constituirán la base de su plan de acción.
     
     
  2. Nombrar a las personas responsables y de contacto: Aclare las funciones y responsabilidades en materia de ciberseguridad en la organización. La dirección debe nombrar a una o varias personas para coordinar el trabajo de seguridad, por ejemplo, un director de seguridad de la información (CISO) o un coordinador de seguridad. Esta función debe tener el mandato de aplicar medidas e informar a la dirección sobre la situación. También debe registrar una persona de contacto formal ante la autoridad supervisora pertinente (MCF u otra, según la normativa que entre en vigor próximamente) para que exista un canal claro de información y notificación de incidentes. No olvide actualizar los datos de contacto si se sustituye a las personas responsables; la ley exige que los cambios se comuniquen en un plazo de 14 días.
     
     
  3. Actualizar los documentos de gobernanza y política de seguridad: Basándose en el análisis de su situación actual, revise o elabore los documentos de gobernanza necesarios: política de seguridad de la información, directrices de gestión de accesos, plan de respuesta a incidentes, planes de continuidad, etc. Asegúrese de que estos documentos se conozcan y se apliquen dentro de la organización (los documentos que acumulan polvo no sirven para nada). La documentación del trabajo de seguridad debe mantenerse actualizada y ser trazable para que, en caso necesario, pueda demostrar a la autoridad supervisora cómo cumple los requisitos.
     
     
  4. Implemente las medidas técnicas y organizativas necesarias: Aborde cualquier deficiencia identificada en su protección. Dé prioridad a las medidas que tengan mayor impacto en la reducción del riesgo; por ejemplo, es posible que tenga que mejorar la segmentación de la red, introducir la autenticación multifactorial en todas las cuentas o reforzar sus procedimientos de copia de seguridad. Revise también las medidas de seguridad física (salas de servidores cerradas con llave, protección contra incendios para los centros de datos, etc.). En el aspecto organizativo, esto puede implicar la introducción de procedimientos para la auditoría de proveedores, la gestión de cambios en los sistemas informáticos o la verificación de los antecedentes del personal para puestos sensibles. Elabore un plan de acción realista con plazos y personas responsables para cada medida. Establezca o perfeccione sus procedimientos de incidentes para cumplir con los estrictos requisitos de notificación de la ley. Defina qué constituye un «incidente significativo» para su empresa (las autoridades pueden proporcionar orientación sobre los umbrales) y asegúrese de que el personal sepa cómo escalar dicho incidente. Establezca una cadena interna de notificación de incidentes que permita informar rápidamente al responsable de la toma de decisiones, al abogado o al comunicador internos correspondientes y, si es necesario, a la autoridad supervisora en un plazo de 24 horas. Prepare plantillas de informes de incidentes para no tener que empezar desde cero en situaciones de estrés. También es aconsejable preparar planes de comunicación con antelación: ¿cómo informamos al público o a los afectados si se produce un incidente grave? Practique la gestión de incidentes mediante simulacros de ataques, de modo que tanto el equipo de TI como la dirección puedan practicar sus funciones.
     
     
  5. Forme a la dirección y a los empleados: Asegúrese de que los directivos reciban la formación obligatoria de conformidad con la ley. Planifíquelo con suficiente antelación; MCF, por ejemplo, ofrece cursos introductorios en línea para la dirección. Al mismo tiempo, debe sensibilizar a todo el personal. Organice sesiones informativas sobre seguridad informática básica, simulaciones de phishing u otras iniciativas de formación para crear una cultura de seguridad. Todos los empleados deben conocer sus responsabilidades, como por ejemplo, cómo manejar documentos confidenciales o informar de incidentes sospechosos. Recuerde que la formación no es una iniciativa puntual: planifique recordatorios y actualizaciones periódicos, especialmente a medida que evoluciona el panorama de las amenazas. Revise cómo clasifica y protege la información internamente. La nueva ley también introduce ciertos cambios en las normas de confidencialidad, entre ellos permitir que se comparta información sobre vulnerabilidades e incidentes sin revelar información confidencial. Asegúrese de contar con procedimientos para manejar de forma segura la información confidencial sobre sus sistemas y riesgos. Solo las personas autorizadas deben tener acceso a los detalles de sus vulnerabilidades o informes de incidentes. Al mismo tiempo, debe poder compartir la información necesaria con la autoridad supervisora y, posiblemente, con otras partes afectadas en caso de incidente: encuentre el equilibrio entre la transparencia y la confidencialidad. Considere la posibilidad de actualizar sus directrices internas para la clasificación de la información y el cumplimiento de la legislación sobre acceso público y confidencialidad a la luz de los nuevos requisitos.
  6. Involucre a sus proveedores: Identifique qué proveedores externos son críticos para sus operaciones de TI y la gestión de la información (por ejemplo, socios operativos, proveedores de servicios en la nube, proveedores de sistemas). Comuníqueles los próximos requisitos: muchos proveedores ya conocen la NIS2 y han comenzado a reforzar su seguridad. Asegúrese de que sus acuerdos nuevos o renovados incluyan cláusulas de seguridad pertinentes, como los requisitos de notificación de incidentes por parte del proveedor, su derecho a revisar su trabajo de seguridad y los requisitos para que sigan las buenas prácticas (quizás incluso que estén certificados según la norma ISO 27001 o similar). Al establecer requisitos claros en la contratación ahora, no solo está cumpliendo con la intención de la ley en cuanto a la seguridad de la cadena de suministro, sino que también está protegiendo su propio negocio.
     
     
  7. Siga los avances y planifique la mejora continua: Manténgase al día de las aclaraciones de las autoridades. El MCF y otras autoridades reguladoras publicarán normativas que especificarán los requisitos legales (por ejemplo, qué constituye un incidente significativo en diferentes sectores o los detalles de las medidas de seguridad). No dude en suscribirse a los boletines informativos o a los correos electrónicos de las autoridades pertinentes. Ya puede acceder a las directrices publicadas por el MCF, como «El papel de la gestión en la seguridad de la información y la ciberseguridad». Por último, considere la ciberseguridad como un proceso continuo, no como un proyecto con una fecha de finalización. Después del 15 de enero de 2026, será importante seguir identificando áreas de mejora, midiendo los progresos y adaptándose a las nuevas amenazas. Incorpore la ciberseguridad en su trabajo habitual de garantía de calidad y gestión de riesgos. De este modo, su organización estará mejor preparada, no solo para cumplir con la ley, sino también para hacer frente a los retos cibernéticos del futuro.

  Conclusión

  La nueva ley de ciberseguridad marca un cambio hacia un trabajo de ciberseguridad más proactivo y uniforme en todo el sector público. Al comprender qué requisitos se imponen, y por qué, los municipios, las regiones y las autoridades no solo pueden evitar infringir la ley e incurrir en sanciones, sino también aumentar su propia resiliencia ante los ciberataques. El objetivo final es proteger a los ciudadanos y las funciones socialmente importantes en una era de crecientes amenazas digitales. Siguiendo el espíritu de la ley: planificar, educar, proteger y colaborar, el sector público estará mejor preparado cuando se produzca la próxima crisis cibernética. El mensaje de la ley es claro: la ciberseguridad es responsabilidad de todos, desde los técnicos informáticos hasta la alta dirección. Ahora existe un marco concreto para respaldar esta responsabilidad; cada organización debe ponerlo en práctica. ¡Buena suerte con su trabajo continuo en materia de ciberseguridad! Este resumen se basa en el nuevo texto legal, la información del Gobierno y los comunicados de prensa, así como en las orientaciones del MCF. Para aquellos que deseen profundizar en el tema, recomendamos leer la Ley de Ciberseguridad (2025:1506) en su totalidad y las próximas regulaciones del MCF, así como aprovechar los cursos de formación y los materiales de apoyo antes de que la ley entre en vigor el 15 de enero de 2026.