Directiva NIS2: qué es y cómo afecta a tu empresa

La Directiva NIS2 representa un cambio fundamental en el enfoque de la Unión Europea hacia la ciberseguridad. Aprobada en noviembre de 2022 y en vigor desde el 16 de enero de 2023, esta normativa sustituye a la anterior Directiva NIS1 (2016), estableciendo un nuevo marco legal más estricto y amplio para proteger redes y sistemas de información en toda Europa. Su implementación ya es obligatoria en los estados miembros de la Unión Europea desde 17 de octubre de 2024, y las organizaciones deben prepararse cuanto antes para cumplir con sus exigencias

Actualización [enero 2025]:

El Consejo de Ministros de España ha aprobado el Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad, que transpone oficialmente al ordenamiento jurídico nacional la Directiva (UE) 2022/2555, conocida como NIS2. Esta norma, elaborada por los ministerios del Interior, Defensa y Transformación Digital, establece un marco legal que refuerza la protección de redes y sistemas de información. Entre las principales novedades destaca la creación del Centro Nacional de Ciberseguridad, encargado de coordinar la ciberseguridad a nivel estatal y ser autoridad de gestión de crisis en caso de incidentes relevantes.

Además, la ley detalla qué entidades están obligadas a cumplirla, fija requisitos para la designación de un responsable de ciberseguridad acreditado en entidades esenciales, e impone la notificación de incidentes significativos, incluso si afectan a proveedores externos. La tramitación ha sido declarada urgente debido a que el plazo oficial de transposición de la Directiva NIS2 venció el 17 de octubre de 2024.

Contexto: ¿por qué surge la Directiva NIS2?

La Directiva NIS1 fue pionera en establecer un marco común de ciberseguridad en la UE, pero con el paso del tiempo se identificaron varias debilidades:

• Aplicación desigual entre Estados miembros.
• Bajo nivel de preparación en muchos sectores.
• Falta de cooperación internacional efectiva.

La NIS2 nace con el objetivo de subsanar estas carencias, reforzar la seguridad en un entorno digital cada vez más complejo, y responder a nuevas amenazas como el ransomware, el espionaje industrial y las interrupciones de servicios esenciales.

¿Qué es la Directiva NIS2?

La Directiva (UE) 2022/2555, conocida como Directiva NIS2, refuerza los estándares de ciberseguridad y extiende su aplicación a más sectores considerados esenciales y estratégicos, incluyendo también a proveedores digitales. Entre sus objetivos principales se encuentran:

• Reforzar la resiliencia de las infraestructuras críticas.
• Establecer criterios homogéneos de seguridad entre los Estados miembros.
• Mejorar la colaboración entre países para la gestión de incidentes.

Comparativa: NIS1 vs NIS2

Aspecto	NIS1 (2016)	NIS2 (2022)
Ámbito de aplicación	Limitado a sectores críticos	Ampliado a más sectores y empresas
Requisitos de seguridad	Generales y poco detallados	Concretos, armonizados y obligatorios
Supervisión	Débil y desigual entre países	Refuerzo de autoridades nacionales y auditorías
Cooperación entre países	Limitada	Creación de EU-CYCLONe para respuesta coordinada
Sanciones	Escasas o inexistentes	Multas de hasta 10M € o el 2% del volumen anual

¿A quién afecta la Directiva NIS2?

La NIS2 aplica tanto a entidades públicas como privadas que operen en sectores esenciales o importantes. Estos sectores se clasifican en:

Sectores esenciales (alta criticidad):

• Energía
• Banca e infraestructuras financieras
• Sanidad
• Transporte
• Infraestructura digital
• Agua potable y residual
• Administración pública (excepto justicia, parlamentos y bancos centrales)
• Proveedores de servicios TIC

Sectores importantes (no esenciales):

• Investigación
• Química
• Alimentación
• Servicios postales y mensajería
• Proveedores digitales
• Fabricación crítica
• Gestión de residuos

¡Importante! Las empresas de estos sectores deben implementar medidas obligatorias de ciberseguridad, independientemente de su tamaño, si cumplen ciertos criterios de actividad.

Obligaciones de la Directiva NIS2

Las obligaciones que introduce esta normativa se distribuyen a lo largo de 17 puntos, por lo que adaptarse a todos los requisitos resulta un proyecto extenso y complejo:

1. Gestión del riesgo: activos, amenazas, vulnerabilidades, impacto y probabilidad.
2. Política de seguridad de la información: estrategia y objetivos de seguridad.
3. Documentación de medidas técnicas y organizativas: descripción de medidas de seguridad implementadas.
4. Evaluación de riesgos: informes sobre riesgos a sistemas y servicios.
5. Plan de respuesta a incidentes: protocolo para gestionar y responder a incidentes. Procedimientos de notificación de incidentes: guía sobre cómo informar a las autoridades.
6. Gestión de incidentes, que incluye la detección, respuesta y manejo de incidentes de ciberseguridad.
7. Continuidad del negocio y gestión de crisis, mediante planes de recuperación ante desastres y copias de seguridad.
8. Seguridad en la cadena de suministro, evaluando los riesgos asociados a proveedores y socios comerciales.
9. Seguridad en la adquisición, desarrollo y mantenimiento de sistemas de información, incluyendo la gestión de vulnerabilidades.
10. Evaluación de la eficacia de las medidas de gestión de riesgos para identificar posibles debilidades.
11. Gestión de proveedores: políticas para evaluar riesgos de terceros.
12. Registros de actividades: mantenimiento de registros de incidentes y acciones.
13. Prácticas básicas de ciberhigiene y formación en ciberseguridad para todo el personal.
14. Uso de criptografía y, donde corresponda, encriptación para proteger la información sensible.
15. Seguridad de los recursos humanos, control de acceso y gestión de activos, asegurando que el personal tenga acceso restringido y controlado a los sistemas.
16. Autenticación multifactorial y comunicaciones seguras, donde sea apropiado, para proteger el acceso y las comunicaciones dentro de la organización.
17. Auditorías, revisiones y control periódico de eficacia de las medidas de seguridad implementadas.

Estas medidas deben ser proporcionales al tamaño, sector y nivel de exposición al riesgo de cada organización. Contacta con nosotros para realizar gratis una consultoría de adaptación a la NIS2 sin compromiso. Nuestras soluciones se adaptan al tamaño de las empresas e incluso puedes financiar su coste si has solicitado las ayudas Kit Consulting o Kit Digital para empresas de hasta 249 empleados.

¿Cómo prepararse para cumplir con la Directiva NIS2? (checklist práctico)

1. Realiza una auditoría de ciberseguridad actual.
2. Identifica tus activos críticos y evalúa riesgos.
3. Revisa tus políticas y procedimientos internos.
4. Forma a tu equipo en ciberseguridad.
5. Implementa controles técnicos como autenticación multifactor.
6. Establece un protocolo de notificación de incidentes.
7. Supervisa la cadena de suministro.
8. Documenta todas las acciones para demostrar cumplimiento.

Casos de uso: ¿cómo impacta la NIS2 en distintos sectores?

• Sanidad: hospitales deberán proteger historiales clínicos y notificar ataques en menos de 24h.
• Transporte: aerolíneas y operadores logísticos deberán blindar sus redes operativas.
• Finanzas: bancos deben revisar protocolos ante filtraciones de datos o sabotajes.
• Fabricación crítica: plantas industriales deberán garantizar disponibilidad operativa.

Preguntas frecuentes (FAQ)

¿La NIS2 aplica a mi PYME?

Sí, si operas en uno de los sectores mencionados y superas ciertos umbrales de actividad o criticidad. Si tienes menos de 50 empleados, tu pyme puede estar igualmente obligada por cadena de suministro (eres proveedor de una entidad obligada por la NIS2).

¿Quién supervisa el cumplimiento de la Normativa NIS2 en España?

Una entidad de nueva creación, el Centro Nacional de Ciberseguridad, un órgano de contacto único con la Unión Europea adscrito a la Secretaría General de Presidencia del Gobierno que se encargará de la dirección, impulso y coordinación en la materia, garantizará la cooperación intersectorial y transfronteriza con otras autoridades competentes y será autoridad de gestión de las crisis de ciberseguridad.

¿Qué plazo tengo para cumplir la Directiva NIS2?

Actualmente la Directiva NIS2 se encuentra en vigor a nivel europeo, y en España está pendiente de su transposición a ley estatal. Es importante adaptarse a la NIS2 sin demora, porque no es un proceso rápido y se prevé que la transposición de ley se publicará en los próximos meses.

¿Y si no cumplo?

Te enfrentas a sanciones de hasta 10 millones de euros o el 2% de la facturación.

NIS2 España: adaptación e impacto

España debe adaptar su legislación antes del 17 de octubre de 2024. El Boletín Oficial del Estado (BOE) será el medio para publicar la transposición. Las empresas españolas deben revisar sus infraestructuras digitales y adoptar medidas preventivas cuanto antes.

Además, se prevé una cooperación activa entre el sector privado y organismos como el INCIBE y el Centro Criptológico Nacional (CCN-CERT) para fomentar la ciberresiliencia nacional.

¿Cómo puede ayudarte Edorteam?

En Edorteam, contamos con más de 30 años de experiencia ayudando a empresas a cumplir con normativas de protección de datos y ciberseguridad. Podemos ayudarte a:

• Evaluar si tu empresa está sujeta a la Directiva NIS2.
• Realizar auditorías de ciberseguridad.
• Desarrollar planes de cumplimiento adaptados a tu sector.
• Formar a tu equipo en ciberseguridad.

Solicita una consultoría gratuita y prepárate con garantías para la NIS2.

Recursos adicionales

• Guía oficial de la Directiva NIS2 – Comisión Europea
• INCIBE – Instituto Nacional de Ciberseguridad
• CCN-CERT – Centro Criptológico Nacional