La Directiva NIS2 (UE 2022/2555) es un marco completo de gestión de riesgos de ciberseguridad que redefine las responsabilidades de miles de empresas en España. Sustituye y deroga la directiva NIS original y tiene por objetivo principal elevar el nivel general de ciberseguridad en toda la Unión Europea.
El plazo para la transposición por parte de España y del resto de los Estados miembros finalizó en octubre de 2024. Esto significa que las empresas afectadas deben encontrarse actualmente en una fase avanzada de adaptación operativa y normativa.
¿A quién afecta la Directiva NIS2?
A diferencia de su predecesora, NIS2 amplía drásticamente el alcance. Abandona la distinción entre «operadores de servicios esenciales» y «proveedores de servicios digitales» para crear dos nuevas categorías: entidades esenciales y entidades importantes.
La clasificación depende del sector y del tamaño de la empresa. La directiva cubre sectores críticos como la energía, el transporte, la banca, las infraestructuras de mercados financieros, la sanidad (incluida la fabricación de productos farmacéuticos), el agua potable y residual, la infraestructura digital (centros de datos, proveedores de nube, redes de comunicaciones) y la administración pública.
Además, incorpora nuevos sectores en el grupo de entidades importantes, como los servicios postales, la gestión de residuos, la industria química, la producción de alimentos y un amplio espectro de la industria manufacturera (p. ej. dispositivos médicos, automoción).
En España, aunque la transposición final detallará el mapa completo, se espera que el Instituto Nacional de Ciberseguridad (INCIBE), a través de su CSIRT nacional INCIBE-CERT, juegue un papel central como autoridad competente de supervisión y punto de contacto único para la notificación de incidentes, junto con el CCN-CERT y el CNPIC en sus respectivos ámbitos.
Las obligaciones clave bajo NIS2
NIS2 exige un enfoque proactivo de la ciberseguridad basado en el riesgo. Las entidades cubiertas deberán implementar, como mínimo, un conjunto de medidas robustas. Estas incluyen:
Políticas claras de análisis de riesgos y seguridad de los sistemas de información.
Planes de gestión de incidentes (detección, respuesta y recuperación).
Planes de continuidad de negocio y gestión de crisis, incluida la recuperación ante desastres.
Seguridad en la cadena de suministro, evaluando la ciberseguridad de sus proveedores directos.
Seguridad en la adquisición, desarrollo y mantenimiento de sistemas, incluida la gestión de vulnerabilidades.
Políticas y procedimientos para evaluar la eficacia de las medidas de ciberseguridad (auditorías).
Prácticas basicas de higiene cibernética y formación en ciberseguridad para los empleados.
Uno de los cambios más significativos es la responsabilidad directa del órgano de dirección. La alta dirección de las empresas será responsable de supervisar y aprobar las medidas de gestión de riesgos, y deberá recibir formación específica en esta materia. En caso de incumplimiento grave, podrá ser considerada responsable.
La cuenta atrás ha comenzado. Ignorar la NIS2 no es una opción, y la adaptación requiere una evaluación profunda de los procesos y tecnologías actuales.
¿Conoce los plazos y fases clave para notificar un incidente según la Directiva NIS2?
Cumplir con los requisitos de comunicación dentro de los tiempos establecidos puede evitar sanciones y demostrar una gestión responsable ante las autoridades competentes.
Para facilitar el cumplimiento normativo, hemos preparado una Guía Rápida sobre las Fases y Plazos de Notificación de Incidentes según la NIS2.