¿Qué es la Directiva NIS2 y a qué empresas afecta?

En la era digital actual, la ciberseguridad se ha convertido en un pilar fundamental para proteger la infraestructura crítica, los datos personales y los activos corporativos de amenazas crecientes y cada vez más sofisticadas. Las empresas y gobiernos de todo el mundo enfrentan desafíos significativos debido a la evolución constante de las tácticas de los ciberdelincuentes, lo que exige una adaptación y respuesta ágil para salvaguardar la información sensible y los sistemas esenciales.

En este contexto surge la Directiva NIS2, una actualización integral de la legislación europea en materia de seguridad de las redes y sistemas de información que juega un papel crucial. Y es que, esta directiva extiende y refuerza las exigencias y el alcance de su predecesora – la NIS1 – abordando las crecientes y cambiantes amenazas cibernéticas que enfrentan las entidades tanto públicas como privadas.

En este artículo, te presentamos todas las claves de la Directiva NIS2: qué es, a quién le afecta, cuáles son los plazos para cumplir con ella, posibles consecuencias por incumplimiento, etc., porque… ¡el primer paso para el éxito es una empresa segura!

Tabla de contenidos

¿Qué es la NIS2?
Objetivos y alcance de la nueva directiva
¿Quién debe cumplir con la Directiva NIS2?
Requisitos principales de la NIS2
Sanciones por incumplimiento de la Directiva NIS2
Beneficios de cumplir con la Directiva NIS2

¿Qué es la NIS2?

La Directiva NIS2 es una normativa promulgada por la Unión Europea que actualiza y amplía la Directiva sobre la seguridad de las redes y sistemas de información (NIS), la primera legislación de la UE dedicada específicamente a la ciberseguridad. Esta nueva directiva tiene como objetivo fortalecer la seguridad cibernética a través de la UE, abordando las vulnerabilidades y desafíos emergentes en un panorama digital en constante evolución.

Objetivos y alcance de la nueva directiva

Los objetivos de la Directiva NIS2 son claros y ambiciosos: aumentar el nivel general de ciberseguridad en la UE, mejorar la resiliencia de las redes y sistemas de información y garantizar una respuesta más rápida y coordinada ante los incidentes cibernéticos. Para lograr esto, este reglamente se aplica no solo a los sectores ya cubiertos bajo la NIS, sino también a nuevos sectores considerados críticos, como entidades en los campos de la salud, digital, energía, transporte, agua y alimentos, entre otros.

La directiva también destaca la importancia de la seguridad en toda la cadena de suministro y el riesgo que las terceras partes pueden representar para la seguridad de las redes y los sistemas. Esto subraya la necesidad de una supervisión y gestión exhaustivas del riesgo en todos los niveles de operación.

¿Quién debe cumplir con la nueva Directiva NIS2?

La nueva Directiva NIS2 amplía significativamente el alcance de las entidades que deben cumplir con sus requisitos en comparación con la Directiva NIS original. Estas son algunas de las categorías de entidades que están obligadas a cumplir con la NIS2:

Operadores de Servicios Esenciales (OSE): Incluye empresas y organizaciones que desempeñan servicios cruciales en sectores como energía (electricidad, petróleo, gas), transporte (aéreo, ferroviario, por agua y carretera), banca, infraestructuras del mercado financiero, salud, suministro y distribución de agua potable, y seguridad digital.
Proveedores de Servicios Digitales Importantes (PSDI): Abarca a los proveedores de servicios en la nube, motores de búsqueda en línea y servicios de redes sociales, ampliando el enfoque más allá de los proveedores de servicios digitales contemplados en la NIS original.
Administraciones Públicas: La directiva sugiere que los Estados miembros consideren la inclusión de entidades de la administración pública dentro del alcance de la directiva, debido a su papel en la prestación de servicios esenciales y en la gestión de información sensible.
Otras entidades: La NIS2 también trae bajo su alcance a otras entidades consideradas importantes para la economía y la sociedad, basándose en su tamaño y el impacto potencial que un incidente cibernético podría tener sobre la seguridad pública y económica.

Requisitos Principales de la NIS2

Los requisitos de seguridad cibernética bajo la NIS2 son exhaustivos e incluyen la implementación de medidas técnicas y organizativas apropiadas. Esto implica la adopción de tecnologías de seguridad avanzadas, la realización de evaluaciones y auditorías de riesgos periódicas y la implementación de políticas de seguridad robustas. Además, se espera que las entidades gestionen de manera efectiva la seguridad de su cadena de suministro y mejoren la resiliencia de sus sistemas y redes.

La directiva también enfatiza la importancia de la formación y concienciación en ciberseguridad para todo el personal, asegurando que los empleados estén informados sobre las mejores prácticas de seguridad y los procedimientos de respuesta ante incidentes.

Además, otro de los pilares de la NIS2 es la obligación de reportar incidentes significativos de ciberseguridad. Las entidades afectadas deben notificar a las autoridades nacionales competentes cualquier incidente que tenga un impacto sustancial en la continuidad de los servicios esenciales que proporcionan. Este reporte debe realizarse sin demoras indebidas, generalmente dentro de las 24 horas después de haberse identificado el incidente, para facilitar una respuesta rápida y coordinada.

Sanciones por incumplimiento de la Directiva NIS2

Los Estados miembros tienen la facultad de aplicar sanciones administrativas a las entidades que no cumplan con los requisitos de la Directiva NIS2, especialmente aquellos estipulados en los artículos 21 y 23, que se refieren a las medidas de gestión de riesgos de ciberseguridad y las obligaciones de notificación, respectivamente.

Las sanciones impuestas deberán ser efectivas, proporcionales y disuasorias, tomando en consideración las circunstancias específicas de cada caso. Al adaptar la legislación nacional y establecer el régimen sancionador, los Estados miembros considerarán las siguientes cantidades máximas, eligiendo la que resulte de mayor cuantía para el tipo de entidad involucrada:

Para entidades esenciales, las sanciones podrán ascender hasta 10.000.000 €. Un máximo del 2% del volumen de negocio anual total global del último ejercicio financiero.

Para entidades importantes, las sanciones podrán ascender hasta 7.000.000 €. Un máximo del 1.4% del volumen de negocio anual total global del último ejercicio financiero.

El plazo final para que los Estados miembros notifiquen a la Comisión Europea sobre el régimen sancionador adoptado es el 17 de enero de 2025.

Banner-blog-webinar-cumplimiento-normativa-nis2-descarga-video

Beneficios de cumplir con la Directiva NIS2

A pesar de los desafíos iniciales y los costes de implementación, cumplir con la NIS2 ofrece numerosos beneficios a largo plazo. Estos incluyen una mayor resiliencia frente a ataques cibernéticos, lo que reduce el riesgo de interrupciones costosas y mejora la continuidad del negocio. Además, el cumplimiento de la directiva puede mejorar significativamente la reputación de las empresas, fortaleciendo la confianza de clientes y socios comerciales en su capacidad para proteger datos y servicios.

A largo plazo, la adhesión a la NIS2 también puede ofrecer ventajas competitivas, posicionando a las empresas como líderes en ciberseguridad y cumplimiento normativo, y abriendo nuevas oportunidades de negocio en sectores donde la seguridad es una prioridad.

La adaptación a la Directiva NIS2 es esencial no solo para cumplir con las exigencias legales sino también para fortalecer la seguridad empresarial. ¿Quieres más información sobre cómo conseguir estar al día? ¡Rellena el formulario sin compromiso y te atenderemos!

Nombre	Dominio	Uso	Duración	Tipo
bcookie	slideshare.net	Esta cookie se utiliza para identificar al visitante a través de la aplicación. Esto le permite acceder, por ejemplo, a una página web a través de su aplicación de LinkedIn.	2 años	HTTP
CookieConsent	blog.aitana.es	Almacena el estado de consentimiento de cookies del usuario para el dominio actual.	1 año	HTTP
language	slideshare.net	Guarda el idioma preferido del usuario en el sitio web.	1 día	HTTP

Nombre	Dominio	Uso	Duración	Tipo
ads/ga-audiences	google.com	Utilizada por Google AdWords para reconectar con visitantes que tienen posibilidades de convertirse en clientes, se basa en el comportamiento online del cliente a través de las webs.	Persistent	Pixel
IDE	doubleclick.net	Utilizada por Google DoubleClick para registrar e informar sobre las acciones del usuario en el sitio web tras visualizar o hacer clic en uno de los anuncios del anunciante con el propósito de medir la eficacia de un anuncio y presentar anuncios específicos para el usuario.	1 año	HTTP
images/1x1.gif	public.slidesharecdn.com	Utilizada por el servicio de networking social LinkedIn para rastrear el uso de servicios incrustados.	Persistent	Pixel
test_cookie	doubleclick.net	Utilizada para comprobar si el navegador del usuario admite cookies.	1 día	HTTP
UID	scorecardresearch.com	Recopila información del usuario y su movimiento, como un sello temporal de las visitas, las páginas cargadas más recientemente y la dirección IP. Los datos se utilizan por la red de investigación de marketing Scorecard Research para analizar patrones de tráfico y llevar a cabo encuestas para ayudar a sus clientes a comprender mejor las preferencias del cliente.	2 años	HTTP
UIDR	scorecardresearch.com	Recopila información del usuario y su movimiento, como un sello temporal de las visitas, las páginas cargadas más recientemente y la dirección IP. Los datos se utilizan por la red de investigación de marketing Scorecard Research para analizar patrones de tráfico y llevar a cabo encuestas para ayudar a sus clientes a comprender mejor las preferencias del cliente.	2 años	HTTP
VISITOR_INFO1_LIVE	youtube.com	Intenta calcular el ancho de banda del usuario en páginas con vídeos de YouTube integrados.	179 días	HTTP
YSC	youtube.com	Registra una identificación única para mantener estadísticas de qué vídeos de YouTube ha visto el usuario.	Sesión	HTTP
yt-remote-cast-installed	youtube.com	Registra las preferencias del reproductor de vídeo del usuario al ver vídeos incrustados de YouTube	Persistent	HTML
yt-remote-connected-devices	youtube.com	Registra las preferencias del reproductor de vídeo del usuario al ver vídeos incrustados de YouTube	Persistent	HTML
yt-remote-device-id	youtube.com	Registra las preferencias del reproductor de vídeo del usuario al ver vídeos incrustados de YouTube	Persistent	HTML
yt-remote-fast-check-period	youtube.com	Registra las preferencias del reproductor de vídeo del usuario al ver vídeos incrustados de YouTube	Persistent	HTML
yt-remote-session-app	youtube.com	Registra las preferencias del reproductor de vídeo del usuario al ver vídeos incrustados de YouTube	Persistent	HTML
yt-remote-session-name	youtube.com	Registra las preferencias del reproductor de vídeo del usuario al ver vídeos incrustados de YouTube	Persistent	HTML

Nombre	Dominio	Uso	Duración	Tipo
_ga	aitana.es	Registra una identificación única que se utiliza para generar datos estadísticos acerca de cómo utiliza el visitante el sitio web.	2 años	HTTP
_gat	aitana.es	Utilizado por Google Analytics para controlar la tasa de peticiones.	1 día	HTTP
_gid	aitana.es	Registra una identificación única que se utiliza para generar datos estadísticos acerca de cómo utiliza el visitante el sitio web.	1 día	HTTP
collect	google-analytics.com	Se utiliza para enviar datos a Google Analytics sobre el dispositivo del visitante y su comportamiento. Rastrea al visitante a través de dispositivos y canales de marketing.	Persistent	Pixel
slideshare.experiments	slideshare.net	Utilizada por SlideShare para determinar si el visitante está participando en un experimento de diseño.	Persistent	HTML