La Directiva NIS2 es una normativa de la UE que refuerza la re­si­lie­n­cia ci­be­r­né­ti­ca de los Estados miembros y de las empresas mediante reglas más estrictas. Entre sus co­n­te­ni­dos más im­po­r­ta­n­tes se incluyen la im­ple­me­n­ta­ción de medidas de seguridad para mejorar la pro­te­c­ción de TI, au­di­to­rías de seguridad y pro­ce­di­mie­n­tos rápidos de no­ti­fi­ca­ción en caso de in­ci­de­n­tes ci­be­r­né­ti­cos.

DNS gratuito
Reduce el tiempo de carga de tus páginas web
  • Re­so­lu­ción rápida de dominios para una página web siempre di­s­po­ni­ble
  • Mayor pro­te­c­ción contra fallos y tiempos de inac­ti­vi­dad
  • No requiere tra­n­s­fe­re­n­cia de dominio

¿Qué es la Directiva NIS2?

La Directiva NIS2 de la Unión Europea tiene como objetivo mejorar la re­si­s­te­n­cia frente a amenazas ci­be­r­né­ti­cas en in­frae­s­tru­c­tu­ras ese­n­cia­les e im­po­r­ta­n­tes de los Estados miembros. Las siglas NIS2 si­g­ni­fi­can “Network and In­fo­r­ma­tion Security 2” (Seguridad de las Redes y los Sistemas In­fo­r­má­ti­cos en español). Entró en vigor el 16 de enero de 2023, re­em­pla­za­n­do la Directiva anterior NIS1, que ya había promovido un cambio en la seguridad de TI.

Para ga­ra­n­ti­zar la máxima pro­te­c­ción tanto en el sector privado como en el público de los Estados miembros de la UE, la nueva Directiva NIS2 introduce reglas más exhau­s­ti­vas y estrictas para un grupo más amplio de or­ga­ni­za­cio­nes. Este marco más riguroso busca fo­r­ta­le­cer la re­si­lie­n­cia ci­be­r­né­ti­ca y mejorar la respuesta ante amenazas y vu­l­ne­ra­bi­li­da­des ci­be­r­né­ti­cas. Además, la NIS2 asegura que las in­s­ta­la­cio­nes críticas para el su­mi­ni­s­tro de bienes o servicios ese­n­cia­les a la población estén pro­te­gi­das contra fallos e in­te­rru­p­cio­nes, incluso en si­tua­cio­nes de crisis.

El objetivo principal de la NIS2 es preparar mejor a las empresas para prevenir ci­ber­ata­ques y responder de manera rápida y eficiente ante problemas de TI. A través de una es­tra­te­gia de seguridad más coherente entre los Estados miembros, se busca crear el más alto nivel posible de ci­be­r­se­gu­ri­dad tanto a nivel nacional como in­te­r­na­cio­nal dentro del espacio de la UE.

¿Qué cambia con la Directiva NIS2?

La obli­ga­ción de im­ple­me­n­tar la Ley de Ci­be­r­se­gu­ri­dad de la Directiva NIS2 trae consigo profundas in­no­va­cio­nes en 18 sectores di­fe­re­n­tes. Se duplica el número de sectores cla­si­fi­ca­dos como ese­n­cia­les, y se endurece el régimen de sanciones por in­cu­m­pli­mie­n­to. Además, los di­re­c­to­res eje­cu­ti­vos son re­s­po­n­sa­bles di­re­c­ta­me­n­te.

En Alemania, España, Italia y Francia, por ejemplo, la Directiva NIS2 afectará a miles de empresas. En Alemania, hasta 40 000 empresas tendrán que cumplir los nuevos re­qui­si­tos y en Italia, unas 50 000 empresas. En España, apro­xi­ma­da­me­n­te 25 000 empresas estarán sujetas a la nueva directiva, mientras que en Francia se verán afectadas más de 10 000 entidades.

Resumen de los cambios in­tro­du­ci­dos por la Directiva NIS2:

  • Am­plia­ción de los sectores críticos: la Directiva NIS2 clasifica más sectores como críticos.
  • Sanciones más estrictas: la NIS2 aumenta si­g­ni­fi­ca­ti­va­me­n­te las multas por in­fra­c­cio­nes.
  • Re­s­po­n­sa­bi­li­dad de los di­re­c­ti­vos: los di­re­c­ti­vos son di­re­c­ta­me­n­te re­s­po­n­sa­bles de cumplir con las no­r­ma­ti­vas de ci­be­r­se­gu­ri­dad.
  • Ámbitos de apli­ca­ción más amplios: la Directiva NIS2 se aplica a empresas con más de 50 empleados o con ingresos su­pe­rio­res a 10 millones de euros, así como a ciertas empresas, in­de­pe­n­die­n­te­me­n­te de su tamaño.
  • Obli­ga­ción de análisis de riesgos exhau­s­ti­vos: las empresas deben realizar análisis de riesgos mi­nu­cio­sos.
  • Gestión de riesgos y seguridad obli­ga­to­rios: existen re­qui­si­tos estrictos para la gestión de riesgos y medidas de seguridad. Son obli­ga­to­rias algunas medidas como las pruebas de pe­ne­tra­ción, los co­r­ta­fue­gos de hardware y las es­tra­te­gias de copias de seguridad.
  • Gestión de crisis obli­ga­to­ria: ante in­ci­de­n­tes de seguridad, son ne­ce­sa­rias es­tra­te­gias rápidas y efectivas de gestión de crisis, co­mu­ni­ca­ción y sistemas de no­ti­fi­ca­ción.
  • Uso de pro­to­co­los de seguridad exi­s­te­n­tes: las empresas pueden utilizar es­tá­n­da­res de seguridad ya es­ta­ble­ci­dos como re­fe­re­n­cia.
My­De­fe­n­der
Ci­be­r­se­gu­ri­dad completa
  • Escaneos antivirus pe­rió­di­cos
  • Copias de seguridad au­to­má­ti­cas y re­s­tau­ra­cio­nes

¿Quiénes están afectados por la Directiva NIS2?

La Directiva NIS2 clasifica a las empresas en dos ca­te­go­rías: ese­n­cia­les e im­po­r­ta­n­tes (esta última es nueva). Como hemos me­n­cio­na­do antes, se ven afectadas las empresas con más de 50 empleados o con un volumen de negocios anual de al menos 10 millones de euros. Además, algunas empresas también pueden estar sujetas a la Directiva NIS2 in­de­pe­n­die­n­te­me­n­te de su tamaño, si su in­te­rru­p­ción supone un riesgo sistémico. La categoría “esencial” incluye empresas de once sectores, pri­n­ci­pa­l­me­n­te las que son fu­n­da­me­n­ta­les para el fu­n­cio­na­mie­n­to del Estado. La categoría “im­po­r­ta­n­te” cubre siete sectores adi­cio­na­les.

Sectores y empresas ese­n­cia­les

  • Energía
  • Aba­s­te­ci­mie­n­to de agua
  • Tra­n­s­po­r­te
  • Banca
  • In­frae­s­tru­c­tu­ras de mercados fi­na­n­cie­ros
  • Sanidad
  • Espacio
  • Gestión de aguas re­si­dua­les
  • Ad­mi­ni­s­tra­ción pública
  • In­frae­s­tru­c­tu­ra digital
  • Gestión de servicios TIC (B2B)

Sectores y empresas im­po­r­ta­n­tes

  • Servicios postales y de me­n­sa­je­ría
  • Residuos
  • Industria química
  • Su­mi­ni­s­tro de alimentos
  • Pro­vee­do­res de servicios digitales
  • Industria ma­nu­fa­c­tu­re­ra
  • In­ve­s­ti­ga­ción (opcional)

¿Qué obli­ga­cio­nes tienen las empresas?

La Directiva NIS2 impone obli­ga­cio­nes estrictas y cambios si­g­ni­fi­ca­ti­vos a las empresas. Entre ellos, se incluyen:

Obli­ga­cio­nes Medidas
Gestión de riesgos y co­n­ti­nui­dad Cifrado, au­te­n­ti­ca­ción mu­l­ti­fa­c­tor, cri­p­to­gra­fía, asi­g­na­ción de roles y control de acceso, gestión de copias de seguridad y re­cu­pe­ra­ción de sistemas, seguridad de la cadena de su­mi­ni­s­tro y análisis de riesgos forman parte del programa obli­ga­to­rio. Los re­qui­si­tos mínimos varían según el tamaño de la empresa.
No­ti­fi­ca­ción de in­ci­de­n­tes Los in­ci­de­n­tes de seguridad si­g­ni­fi­ca­ti­vos deben no­ti­fi­car­se a las au­to­ri­da­des en un plazo de 24 horas. La primera eva­lua­ción debe rea­li­zar­se en 72 horas, y el informe final en un mes.
Registro de pro­vee­do­res ese­n­cia­les Las or­ga­ni­za­cio­nes afectadas y los pro­vee­do­res de servicios de registro de nombres de dominio deben presentar in­fo­r­ma­ción a las au­to­ri­da­des re­s­po­n­sa­bles a más tardar tres meses después de la entrada en vigor de la NIS2. Si no se cumple la obli­ga­ción de registro, también puede cumplirla el CSIRT (Computer Security Incident Response Team).
Re­s­po­n­sa­bi­li­dad de los di­re­c­ti­vos Los di­re­c­ti­vos re­s­po­n­sa­bles de aprobar y su­pe­r­vi­sar las medidas de ci­be­r­se­gu­ri­dad y también se harán re­s­po­n­sa­bles en el caso de una ne­gli­ge­n­cia grave.
Su­pe­r­vi­sión y sanciones Apro­xi­ma­da­me­n­te tres años después de la entrada en vigor de la NIS2, la autoridad su­pe­r­vi­so­ra tiene la opción de solicitar pruebas del cu­m­pli­mie­n­to de las obli­ga­cio­nes. Pueden ordenarse medidas en caso de peligro inminente.

¿Cómo facilitar la im­ple­me­n­ta­ción de NIS2?

Para cumplir a tiempo con las obli­ga­cio­nes derivadas de la Directiva NIS2, las empresas deben tomar las si­guie­n­tes medidas:

  • Análisis del estado actual y objetivo: verifica si estás afectado por las obli­ga­cio­nes de la NIS2 y evalúa el estado actual y las áreas de mejora de la re­si­lie­n­cia ci­be­r­né­ti­ca en tu empresa.
  • Im­ple­me­n­ta­ción: deben in­tro­du­ci­r­se análisis de riesgos y conceptos de seguridad para todos los sistemas de in­fo­r­ma­ción.
  • Eva­lua­ción: es necesario revisar re­gu­la­r­me­n­te la eficacia de los métodos de gestión de riesgos.
  • Ela­bo­ra­ción: es obli­ga­to­rio de­sa­rro­llar un plan para gestionar in­ci­de­n­tes de seguridad.
  • Gestión de crisis y copias de seguridad: deben im­ple­me­n­tar­se medidas de respaldo de datos y gestión de crisis.
  • Sistema de no­ti­fi­ca­ción: es esencial es­ta­ble­cer un sistema efectivo de no­ti­fi­ca­ción de in­ci­de­n­tes de seguridad.
  • Ca­pa­ci­ta­ción: los empleados deben recibir formación re­gu­la­r­me­n­te.
  • Seguridad en la cadena de su­mi­ni­s­tro: debe ga­ra­n­ti­zar­se la seguridad en la cadena de su­mi­ni­s­tro.

¿Qué pasa si no se im­ple­me­n­ta la NIS2?

Las empresas que no im­ple­me­n­ten las medidas pre­s­cri­tas se enfrentan a multas si­g­ni­fi­ca­ti­vas. Las au­to­ri­da­des de su­pe­r­vi­sión, de acuerdo con la Directiva NIS2, tendrán amplios poderes de su­pe­r­vi­sión, control y mandato, in­clu­ye­n­do la im­po­si­ción de plazos. Además, los di­re­c­to­res eje­cu­ti­vos asumirán una mayor re­s­po­n­sa­bi­li­dad en cuanto a las medidas de pro­te­c­ción y seguridad, y pueden ser pe­r­so­na­l­me­n­te re­s­po­n­sa­bles en caso de in­fra­c­cio­nes o ne­gli­ge­n­cia.

¿Cuándo entra en vigor la Directiva NIS2?

El 14 de diciembre de 2022, el Pa­r­la­me­n­to Europeo y el Consejo aprobaron la Directiva (UE) 2022/2555, conocida como Directiva NIS2. Esta reemplazó a la anterior Directiva NIS, y entró en vigor ofi­cia­l­me­n­te en enero de 2023. La Directiva NIS2 introduce cambios si­g­ni­fi­ca­ti­vos en el re­gla­me­n­to eIDAS (UE) nº 910/2014 y la Directiva EECC (UE) 2018/1972. Todos los Estados miembros de la UE debían tra­n­s­po­ne­r­la en sus le­gi­s­la­cio­nes na­cio­na­les antes del 17 de octubre de 2024.

En los distintos países, di­fe­re­n­tes au­to­ri­da­des son re­s­po­n­sa­bles de dirigir la apli­ca­ción de la directiva. Por ejemplo, en Francia, la ANSSI (Agencia Nacional para la Seguridad de los Sistemas de In­fo­r­ma­ción) lidera los esfuerzos de apli­ca­ción, e incluso ha lanzado Mon Espace NIS 2, un servicio digital destinado a apoyar a las empresas en la apli­ca­ción de la directiva. La BSI (Oficina Federal de Seguridad de la In­fo­r­ma­ción) es la autoridad re­s­po­n­sa­ble en Alemania, y en España, el Centro Cri­p­to­ló­gi­co Nacional (CCN-CERT) supervisa las medidas de ci­be­r­se­gu­ri­dad y garantiza el cu­m­pli­mie­n­to de la nueva directiva.

Ir al menú principal