La directiva NIS2 lleva más de un año en vigor y muchas organizaciones en España todavía no saben si les aplica, qué deben hacer o cuál es el plazo para cumplir. No es un problema de voluntad: es que la directiva es amplia, la transposición nacional no se ha completado en todos los países y la información disponible suele estar escrita para abogados, no para responsables de sistemas o directores de operaciones.
Esta guía intenta explicar qué es NIS2, a quién afecta, qué obliga a hacer y cuáles son las consecuencias de no cumplir, sin tecnicismos innecesarios.
Qué es NIS2 y por qué existe
NIS2 (Network and Information Security Directive 2) es la actualización de la directiva NIS original de 2016, aprobada por el Parlamento Europeo en diciembre de 2022 y con fecha límite de transposición nacional el 17 de octubre de 2024. Su objetivo es elevar el nivel mínimo de ciberseguridad en toda la UE y asegurar que los sectores más críticos tengan capacidades reales de prevención, detección y respuesta ante incidentes.
La NIS original se quedó corta: cubría pocos sectores, las exigencias eran vagas y el nivel de implementación variaba enormemente entre países miembros. NIS2 amplía el alcance, endurece las obligaciones y eleva la responsabilidad al nivel directivo.
A quién afecta
NIS2 divide a las entidades afectadas en dos categorías: esenciales y "importantes" (en la traducción oficial, "importantes" se usa para el segundo nivel).
Entidades esenciales (sujetas a supervisión más estricta): energía, transporte, banca, infraestructuras de mercados financieros, salud, agua potable y aguas residuales, infraestructura digital (proveedores de internet, DNS, centros de datos, servicios de nube), gestión de servicios de TIC, espacio.
Entidades importantes: servicios postales y mensajería, gestión de residuos, fabricación de productos críticos (médicos, equipos informáticos, maquinaria), químicos, alimentación, proveedores de servicios digitales (plataformas de comercio electrónico, motores de búsqueda, redes sociales).
El criterio de tamaño es relevante: en general, la directiva aplica a medianas y grandes empresas (más de 50 empleados o más de 10 millones de euros de facturación). Las pymes más pequeñas quedan fuera, salvo excepciones en sectores críticos.
En la práctica, si tu empresa presta servicios digitales en la UE, gestiona infraestructura tecnológica o forma parte de la cadena de suministro de alguno de estos sectores, es muy probable que NIS2 te aplique directa o indirectamente.
Qué obliga a hacer NIS2
Las obligaciones principales se agrupan en cuatro bloques:
1. Gestión de riesgos de ciberseguridad
Las organizaciones deben implementar medidas técnicas y organizativas proporcionales al riesgo: políticas de seguridad documentadas, gestión de activos, control de accesos, cifrado, seguridad en la cadena de suministro, evaluaciones de riesgo periódicas y planes de continuidad de negocio.
No exige tecnología específica, pero sí que las medidas adoptadas sean coherentes con el nivel de riesgo de la organización y puedan justificarse ante el regulador.
2. Gestión de incidentes y notificación
Aquí está uno de los cambios más relevantes respecto a NIS original. NIS2 establece plazos estrictos de notificación a las autoridades competentes (en España, el CCN-CERT para el sector público y el INCIBE-CERT para el privado):
- Alerta temprana: en las primeras 24 horas desde el conocimiento del incidente.
- Notificación del incidente: en las primeras 72 horas, con más detalles.
- Informe final: en el plazo de un mes.
Esto implica tener procesos de detección y clasificación de incidentes operativos antes de que ocurra el incidente, no después.
3. Seguridad en la cadena de suministro
NIS2 extiende la responsabilidad más allá del perímetro propio. Las organizaciones deben evaluar la postura de seguridad de sus proveedores tecnológicos clave y asegurarse de que los acuerdos contractuales incluyen requisitos de seguridad. Si un proveedor sufre un incidente que afecta a tu organización, eso puede ser tu problema regulatorio tanto como el suyo.
4. Responsabilidad directiva
Este es el punto que más ha sorprendido a muchos consejos de administración. NIS2 establece que los órganos de dirección de las entidades afectadas son responsables de la aprobación y supervisión de las medidas de ciberseguridad. Los directivos pueden ser personalmente responsables de las infracciones, incluyendo prohibiciones temporales de ejercer cargos directivos en casos graves.
Cuáles son las sanciones
Las multas máximas son proporcionales a la categoría de la entidad:
- Entidades esenciales: hasta 10 millones de euros o el 2% de la facturación global anual (el mayor de los dos).
- Entidades importantes: hasta 7 millones de euros o el 1,4% de la facturación global anual.
Además de las multas, el regulador puede obligar a implementar medidas correctoras, suspender temporalmente certificaciones, o publicar la infracción (lo que en sectores regulados tiene un coste reputacional considerable).
El estado de la transposición en España
España no completó la transposición de NIS2 antes del plazo de octubre de 2024. El anteproyecto de ley de transposición existe, pero el proceso legislativo ha avanzado lentamente. Esto no significa que las empresas españolas no estén sujetas a la directiva: la Comisión Europea puede iniciar procedimientos de infracción contra el Estado, y los organismos nacionales de supervisión ya existentes (CCN, INCIBE) pueden actuar con base en la legislación vigente mientras tanto.
La recomendación práctica es no esperar a que la ley nacional esté aprobada para empezar. Los plazos de notificación de incidentes, las evaluaciones de riesgo y la documentación de medidas son trabajo que lleva tiempo, y empezar tarde multiplica el coste y el riesgo.
Por dónde empezar si no sabes si te aplica
El primer paso es determinar si tu organización cae dentro del alcance. El esquema de sectores y criterios de tamaño es el punto de partida. Si hay duda, una consulta con un especialista en regulación tecnológica es más barata que una sanción.
El segundo paso es hacer un gap analysis: comparar las medidas de seguridad actuales con los requisitos de NIS2 e identificar las brechas principales. En muchos casos, las organizaciones ya tienen parte del trabajo hecho (tienen un SGSI, tienen políticas documentadas, tienen backups): la cuestión es si esas medidas están al nivel exigido y si están documentadas de forma que puedan justificarse ante un auditor.
La ciberseguridad regulatoria en Europa ha pasado de ser un tema de cumplimiento formal a tener consecuencias reales para las personas que dirigen las organizaciones. NIS2 es la señal más clara de ese cambio.
0 Comentarios