Skip to main content
Prueba Lexiel gratisProbar ahora →
NIS2 y ciberseguridad para despachos: ¿obligados directamente o solo como proveedores?
Compliance8 minEquipo Lexiel

NIS2 y ciberseguridad para despachos: ¿obligados directamente o solo como proveedores?

La Directiva NIS2 (UE) 2022/2555 está en vigor. Analizamos si los despachos de abogados están en su ámbito de aplicación directo, el riesgo indirecto como proveedores de entidades esenciales, y las medidas mínimas de ciberseguridad que todo despacho debe adoptar.

NIS2 España despachosciberseguridad abogadosransomware despachoINCIBE CCNCERTLey 9/2022 ciberseguridad

NIS2: ámbito de aplicación para despachos

La Directiva (UE) 2022/2555 (NIS2) establece el marco de ciberseguridad más amplio de la UE. España la transpuso mediante modificación de la Ley 9/2022. Autoridad supervisora: CCN-CERT (sector público) e INCIBE (sector privado).

La mayoría de los despachos de abogados NO están directamente en el ámbito de NIS2 como entidades esenciales (Anexo I) ni importantes (Anexo II), salvo que:

  1. Presten servicios a infraestructuras críticas (energía, banca) y sean considerados proveedores críticos.
  2. Sean despachos de muy gran tamaño asimilables a «entidad importante» en servicios jurídicos.
  3. Actúen como proveedores de servicios gestionados de TI (MSP).

El riesgo indirecto: cadena de suministro

NIS2 obliga a las entidades esenciales e importantes a gestionar los riesgos de su cadena de suministro. Si un banco (entidad esencial) contrata a un despacho, puede exigirle contractualmente el cumplimiento de estándares de ciberseguridad NIS2-equivalentes.

Medidas mínimas para todo despacho (RGPD art. 32 obliga)

MedidaDescripción
2FAAutenticación doble factor en todos los sistemas con datos de clientes
Cifrado en reposoBitLocker (Windows) / FileVault (Mac) para archivos de expedientes
Cifrado en tránsitoHTTPS en todas las comunicaciones, VPN para acceso remoto
Backup 3-2-13 copias, 2 medios distintos, 1 fuera de la oficina (nube cifrada)
ParchesActualizaciones automáticas, parches críticos en <72h
FormaciónSimulacros de phishing semestrales (90% de ataques comienzan por phishing)

Incidentes más frecuentes en despachos

  • Ransomware (35%): cifrado completo de archivos, rescate. Caso real 2024: despacho Barcelona (15 abogados) sin backup → pérdida de 6 meses de trabajo, paralización 3 semanas, notificación AEPD obligatoria.
  • Phishing/BEC (40%): robo de credenciales, transferencias fraudulentas.
  • Fuga de datos (15%): brecha RGPD, sanción AEPD.

Notificación de brechas

Bajo RGPD (todos los despachos): notificación a la AEPD en 72 horas si la brecha puede suponer riesgo para los afectados (art. 33 RGPD). Bajo NIS2 (si aplicable): alerta en 24h + informe completo en 72h + informe final en 1 mes.

Prueba Lexiel gratis · 28 días

Usa el código LEX-BLOG para obtener el doble del período de prueba estándar. Cancela cuando quieras, sin compromiso.

LEX-BLOG
Comenzar gratis

Actualizaciones jurídicas semanales

Cambios legislativos, jurisprudencia relevante y novedades de Lexiel. Sin spam. Baja cuando quieras.

Cumplimos el RGPD. No compartimos tu email con terceros.