En 2024 los ciberataques en la UE aumentaron un 12 % respecto al año anterior, con España como país líder en la lista de países con más casos. Con el objetivo de mejorar la ciberseguridad y proteger las infraestructuras críticas, la Unión Europea aprobó la Directiva NIS2, que sustituye a la anterior NIS de 2016 y la cual afecta a muchas organizaciones y empresas de los Estados miembros.
Esta nueva normativa trata de revertir esta peligrosa situación, ampliando el alcance de las empresas obligadas a implementar medidas de seguridad y estableciendo sanciones más severas para quienes incumplan. ¿Pero en qué consiste y cuáles son los requisitos? En este contenido te lo explicamos.
¿Qué es la directiva NIS2?
La directiva NIS2 (Network and Information Security 2) es una normativa europea que tiene como objetivo reforzar la ciberseguridad en toda la Unión Europea. Implementa un conjunto de políticas, estándares, reglamentos y requisitos que organizaciones y empresas de ciertos sectores deberán cumplir.
La NIS2 entró en vigor el 16 de enero de 2023, reemplazando a la anterior Directiva NIS de 2016. Su actualización se hizo necesaria debido a la evolución de las amenazas cibernéticas y la creciente digitalización de sectores críticos.
La normativa ahora incluye más sectores y establece requisitos más estrictos para garantizar un nivel común de ciberseguridad en toda la UE.
También introduce sanciones más severas por incumplimiento y mecanismos de cooperación reforzados entre los Estados miembros. Esta nueva normativa no solo protege infraestructuras críticas, sino que también busca crear un espacio digital más seguro para ciudadanos y empresas.
¿Qué objetivos clave tiene la NIS2?
- Mejorar la resiliencia cibernética: establece mecanismos y requisitos para que las organizaciones puedan prevenir, detectar y responder eficazmente a incidentes de seguridad.
- Ampliar el alcance de cobertura: expande los sectores y entidades que deben cumplir con las medidas de seguridad.
- Armonizar requisitos entre Estados miembros: busca establecer un nivel común de ciberseguridad en toda la UE para evitar fragmentación normativa.
- Notificaciones de incidentes: establece plazos y procedimientos claros para informar sobre brechas de seguridad a las autoridades competentes.
- Fortalecer la supervisión y el cumplimiento: introduce mecanismos más sólidos para verificar que las organizaciones implementen las medidas requeridas, así como sanciones por incumplimiento.
- Mejorar la cooperación internacional: promueve el intercambio de información y la colaboración entre Estados miembros para abordar amenazas transfronterizas
¿A quién afecta la Directiva NIS2?
La Directiva NIS2 afecta a un número considerablemente mayor de organizaciones en comparación con la normativa anterior. Se ha ampliado el alcance para incluir tanto a entidades esenciales como importantes en diversos sectores económicos, clasificándolas según su tamaño, impacto potencial y relevancia para la sociedad.
Las entidades afectadas por la NIS2 se dividen en dos categorías principales:
- Entidades esenciales: organizaciones cuya interrupción podría tener un gran impacto en la seguridad pública, la salud o la economía nacional.
- Entidades importantes: Empresas y organizaciones que, aunque menos críticas que las esenciales, siguen siendo relevantes para el funcionamiento de sectores económicos clave.
Para determinar si una organización está sujeta a las obligaciones de la NIS2, se consideran tanto el sector al que pertenece como su tamaño. En general, la directiva aplica a entidades medianas y grandes que operan en distintos sectores.
Además, algunas organizaciones pequeñas también pueden estar incluidas si proporcionan servicios críticos o si su actividad tiene impacto en caso de un incidente de ciberseguridad.
Sectores afectados por la Directiva NIS2
Los sectores incluidos en esta directiva abarcan áreas críticas para el funcionamiento de la economía y la sociedad europea. Los sectores afectados son los siguientes y se dividen entre esenciales e importantes.
Sectores esenciales
- Energía: electricidad, petróleo, gas y producción de hidrógeno
- Transporte: aéreo, ferroviario, marítimo y por carretera
- Banca y mercados financieros: entidades de crédito, sistemas de pago, infraestructuras de mercado
- Salud: proveedores de atención sanitaria, laboratorios, investigación médica
- Agua potable y residuales: suministro y distribución
- Infraestructuras digitales: proveedores de servicios en la nube, centros de datos, redes de comunicación
- Administración pública: servicios esenciales a nivel nacional y regional
- Aeroespacial: operadores de infraestructuras espaciales
Sectores importantes
- Servicios postales y de mensajería
- Gestión de residuos
- Proveedores de servicios digitales
- Fabricación de productos críticos: dispositivos médicos, semiconductores, maquinaria, productos químicos
- Alimentación: producción, procesamiento y distribución
¿Qué requisitos hay que cumplir para adaptarse a la NIS2?
La Directiva NIS2 establece una serie de requisitos obligatorios que las entidades afectadas deben implementar para mejorar su nivel de ciberseguridad. A continuación, echamos un vistazo a los principales requerimientos que las organizaciones deben cumplir.
Medidas de gestión de riesgos de ciberseguridad
Las organizaciones afectadas por la NIS2 deben implementar medidas técnicas, operativas y organizativas adecuadas para gestionar los riesgos de seguridad en sus redes y sistemas de información. Estas medidas deben ser proporcionales al nivel de riesgo y garantizar un nivel apropiado de seguridad.
Respuestas a incidentes y continuidad del negocio
Las entidades deben contar con planes robustos de respuesta a incidentes de seguridad y estrategias de continuidad del negocio. Esto incluye procedimientos para la gestión de crisis y la capacidad de mantener operaciones críticas tras una violación de seguridad.
La directiva exige que las organizaciones realicen pruebas de penetración periódicas de estos planes para asegurar su efectividad en situaciones reales.
Notificación de incidentes
La NIS2 establece plazos específicos para la notificación de incidentes de ciberseguridad. Las organizaciones deben informar a las autoridades competentes sobre cualquier incidente hasta en 3 ocasiones:
- En un plazo de 24 horas desde su conocimiento
- Con actualizaciones del estado en un máximo de 72 horas.
- Un informe de la situación 1 mes después del incidente.
Estas notificaciones deben incluir información sobre la naturaleza del incidente, su impacto potencial y las medidas adoptadas para mitigarlo.
Gobernanza y responsabilidad
La NIS2 requiere que los órganos directivos y ejecutivos de las organizaciones asuman una responsabilidad directa sobre la ciberseguridad. Los altos cargos deben recibir formación adecuada en materia de seguridad y participar activamente en la supervisión de las políticas de ciberseguridad.
Esta directiva establece claramente que la seguridad ya no es solo responsabilidad del departamento técnico, sino que debe integrarse en todos los niveles de la organización, especialmente en la alta dirección.
Cadena de suministro y seguridad de terceros
Las organizaciones deben evaluar y gestionar los riesgos de ciberseguridad que presentan sus proveedores y socios comerciales.
La NIS2 exige implementar políticas rigurosas para la evaluación de seguridad de terceros y establecer requisitos contractuales con proveedores críticos. Esto implica realizar auditorías periódicas y verificar que toda la cadena de suministro mantenga estándares de seguridad adecuados.
Monitorización y auditorías
Se deben implementar sistemas para monitorizar continuamente la seguridad de las redes y sistemas de información.
La NIS2 exige la realización de auditorías regulares, tanto internas como externas, para evaluar la eficacia de las medidas de seguridad implementadas. Los resultados de estas auditorías deben documentarse y utilizarse para mejorar continuamente las políticas y procedimientos de seguridad.
Certificación y cumplimiento
La Directiva NIS2 promueve la adopción de certificaciones reconocidas de ciberseguridad como forma de demostrar cumplimiento.
Las organizaciones pueden utilizar esquemas de certificación europeos como forma de evidenciar que sus sistemas y procesos cumplen con los requisitos de la directiva. Aunque no es obligatorio obtener certificaciones, estas pueden facilitar el proceso de demostración de conformidad ante las autoridades competentes.
¿Cuándo entra en vigor la directiva NIS2 en España?
En la UE, la NIS2 entró en vigor el 16 de enero de 2023, y los Estados miembros tenían hasta el 17 de octubre de 2024 para transponer la directiva a sus respectivas legislaciones nacionales. En el caso de España, aún no se ha llegado a un acuerdo total.
Aunque el 14 de enero de 2025 se aprobó el Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad, a fecha de la publicación de este artículo todavía no se ha publicado la ley definitiva que transponga la NIS2 al marco legal español.
Según las últimas comunicaciones del gobierno, se espera que la ley sea aprobada a finales del 2025/principios del 2026. Más allá de eso, las entidades afectadas ya deberían estar trabajando en su adaptación a los nuevos requisitos.
¿Cuáles son las sanciones por no cumplir la NIS2?
Las sanciones económicas de la NIS2 para entidades esenciales pueden alcanzar hasta 10 millones de euros o el 2% de la facturación global anual de la empresa (la cantidad que sea mayor). Para entidades importantes, las multas pueden llegar hasta los 7 millones de euros o el 1,4% de la facturación global anual.
Sin embargo, más allá de ver esta directiva como un impedimento o ley a cumplir, las empresas deben tomarla como una oportunidad. Una en la que su infraestructura digital, privacidad y resiliencia digital se convierta en una ventaja competitiva, tanto de puertas para adentro como para los clientes, inversores y sociedad.
¿Ya estás preparado para la directiva NIS2?
Si aún no has puesto en marcha tu plan para adaptarte a la NIS2 y mejorar tu seguridad digital, es el momento de actuar. La implementación de estas medidas no solo te ayudará a evitar sanciones, sino que también fortalecerá la confianza de tus clientes y protegerá activos críticos de tu organización.
En Ausum Cloud, como proveedores de soluciones en la nube y ciberseguridad, entendemos la importancia de cumplir con la normativa NIS2 y ayudamos a las organizaciones a implementar las medidas necesarias para garantizar su conformidad. Ofrecemos asesoramiento y herramientas que facilitan la adaptación a estos nuevos requisitos de ciberseguridad.
Sin embargo, nuestro enfoque no se basa solo en cumplir con la legislación. El objetivo es que las empresas fortalezcan su posición en el mercado con una infraestructura digital segura, resistente y resiliente que tenga la capacidad de adaptarse a todo tipo de situaciones. Si tienes alguna duda o necesitas asesoramiento, no dudes en contactar con nosotros.
