Directiva NIS2: cómo adaptar tu empresa a la nueva normativa europea de ciberseguridad

Fecha de publicación:

El aumento sostenido de ciberataques a infraestructuras críticas llevó a la Unión Europea a renovar su marco común de ciberseguridad con la Directiva (UE) 2022/2555. Esta norma, más conocida como NIS2, amplía el número de sectores de aplicación respecto a la normativa anterior y refuerza las obligaciones de empresas públicas y privadas que prestan servicios esenciales o importantes, entre otras actualizaciones. 


A continuación, te explicamos qué es, a quién afecta, qué obligaciones impone y qué buenas prácticas aplicar para cumplir la norma con garantías.
 

Entidades esenciales e importantes. La NIS2 amplía el alcance de la normativa clasificando a las organizaciones en dos categorías según su criticidad. Las pymes también quedan afectadas indirectamente si forman parte de la cadena de suministro de una entidad esencial. 
Gestión de riesgos. Las organizaciones deben implantar medidas técnicas, operativas y organizativas proporcionales al riesgo: políticas de análisis, protocolos de gestión de incidentes, seguridad en la cadena de suministro y formación del personal en ciberhigiene básica. 
Notificación obligatoria de incidentes. Ante cualquier incidente grave, las entidades deben informar al CSIRT en tres fases —alerta temprana, notificación formal e informe final—, con plazos definidos y, en algunos casos, comunicación directa a los usuarios afectados. 
Responsabilidad personal de la dirección. Por primera vez, los consejos y directores generales responden directamente del cumplimiento, pudiendo ser inhabilitados temporalmente. Las sanciones económicas alcanzan hasta 10 millones de euros o el 2 % de la facturación global anual.
 

Una mano señala una pantalla de ordenador donde está sobreimpresa la imagen de un candado

¿Qué es la Directiva NIS2 y qué objetivos principales tiene? 


La Directiva (UE) 2022/2555, conocida como NIS2 (Network and Information Security 2), es la norma europea que regula a las empresas y gobiernos de los países miembros en materia de ciberseguridad y se puso en marcha para proteger a las organizaciones ante el incremento de ciberataques, amenazas híbridas y dependencia digital.


Así, los objetivos principales de la NIS2 son:


Establecer un nivel común y elevado de ciberseguridad en todos los países de la UE.
Ampliar los sectores y entidades obligadas para cubrir todas las áreas importantes para la sociedad europea como la administración pública, el sector espacial, la gestión de residuos, la fabricación de productos esenciales o los servicios digitales.
Reforzar la gestión de riesgos exigiendo medidas técnicas, operativas y organizativas proporcionadas a la criticidad del servicio.
Unificar las obligaciones de notificación de incidentes, con plazos comunes y procedimientos claros.
Mejorar la cooperación entre Estados miembros a través de la red de CSIRT (Computer Security Incident Response Team) y de la red europea EU-CyCLONe para la gestión de cibercrisis a gran escala.
Responsabilizar directamente a la alta dirección de las entidades de la aprobación, supervisión y seguimiento de las medidas de ciberseguridad.
En definitiva, la directiva NIS2 convierte la ciberseguridad en una cuestión de gobierno corporativo y la sitúa al mismo nivel de exigencia que la protección de datos.  
 

¿Qué empresas tienen que cumplir con la directiva? 


Aunque la norma no se ha transpuesto todavía en la legislación española, las empresas ya han empezado a prepararse para mejorar su capacidad de ciberseguridad. 


En la medida en la que un incidente puede afectar a la sociedad o a otras empresas, la directiva clasifica a las organizaciones que son objeto de la norma en dos categorías: entidades esenciales (EE) y entidades importantes (EI), con distintos regímenes de supervisión y sanción. 


Entidades esenciales. Son aquellas cuya interrupción supondría un impacto crítico en la sociedad o la economía. Entre los sectores considerados esenciales se incluyen los de energía, transporte, banca y mercados financieros, sanitario, abastecimientos o administraciones públicas.
Entidades importantes. Son aquellas que, sin ser estrictamente vitales, tienen un peso relevante en la economía. Algunas de estas son los servicios postales y de mensajería, la gestión de residuos o los productos químicos y alimentos.
 

No obstante, existen excepciones: ciertas entidades están cubiertas independientemente de su tamaño (por ejemplo, proveedores únicos de un servicio esencial en un Estado miembro, operadores de DNS, registros de nombres de dominio de nivel superior o administraciones públicas). Además, las pymes que formen parte de la cadena de suministro de una entidad esencial se verán indirectamente obligadas a reforzar su ciberseguridad, ya que las empresas obligadas deben exigir garantías a sus proveedores.
 

¿A qué te obliga la directiva de ciberseguridad?


La NIS2 introduce un conjunto homogéneo de obligaciones para todas las entidades incluidas en su ámbito, con mayor intensidad de supervisión para las esenciales. Se articulan en cuatro grandes bloques.


1. Medidas de gestión de riesgos
Las entidades deben adoptar medidas técnicas, operativas y organizativas proporcionales al riesgo. La norma establece una relación de acciones para lograr una cobertura mínima frente a los riesgos. Entre ellas, la implantación de políticas de análisis de riesgos y seguridad de la información y protocolos de gestión de incidentes, así como de recuperación y continuidad del negocio. Además, debe garantizarse la seguridad de la cadena de suministro y en la gestión de redes y sistemas y formar al personal para que adopte hábitos de ciberhigiene básicos. 


2. Notificación de incidentes significativos
Las entidades deben notificar al CSIRT (Computer Security Incident Response Team) de referencia o a la autoridad competente cualquier incidente que cause o pueda provocar perturbaciones operativas graves, pérdidas económicas importantes o perjuicios materiales a terceros. Esta notificación debe hacerse en tres tiempos: alerta temprana; notificación formal e informe final. Cuando afecte a usuarios, la entidad también puede verse obligada a informarles directamente.


3. Responsabilidad de la alta dirección
Una de las mayores novedades es que los órganos de dirección (consejos, comités ejecutivos, directores generales) deben aprobar las medidas de gestión de riesgos, supervisar su aplicación y formarse en ciberseguridad para comprender los riesgos del sector. Esta responsabilidad no puede delegarse en personal técnico y su incumplimiento puede acarrear consecuencias personales, incluyendo la inhabilitación temporal para ejercer cargos directivos en el caso de entidades esenciales.


4. Sanciones
El régimen sancionador se endurece considerablemente:
• Entidades esenciales: multas de hasta 10 millones de euros o el 2 % de la facturación anual global, la cantidad que resulte mayor.
• Entidades importantes: multas de hasta 7 millones de euros o el 1,4 % de la facturación anual global.
A ello se suman medidas adicionales como auditorías obligatorias, inspecciones, suspensión de certificaciones o la publicación de los incumplimientos.
 

“Las empresas que se anticipen a la NIS2 no solo cumplirán con la normativa, sino que reforzarán su resiliencia y su posicionamiento en un entorno cada vez más digitalizado.” Afirma Teresa Fernández, directora de Banca de Empresas de Ibercaja.
 

Índice
  1. ¿Qué es la Directiva NIS2 y qué objetivos principales tiene?
  2. ¿Qué empresas tienen que cumplir con la directiva?
  3. ¿A qué te obliga la directiva de ciberseguridad?
Ciberseguridad#
oficinas
Oficinas y cajeros
Ayuda
Te ayudamos