Perfecto. Vamos a explicarlo todo sobre NIS2, una de las normativas clave de ciberseguridad en Europa. Te presento su contexto, objetivos, obligaciones y su impacto real en empresas y organismos públicos.
¿Qué es NIS2?
NIS2 es la Directiva (UE) 2022/2555, también llamada:
Directiva sobre medidas para lograr un elevado nivel común de ciberseguridad en toda la Unión.
Es la evolución de la Directiva NIS original de 2016, y forma parte del marco de ciberseguridad europeo.
Entró en vigor en enero de 2023 y los Estados miembros (incluido España) deben transponerla a su legislación nacional antes del 17 de octubre de 2024.
¿Qué busca NIS2?
-
Reforzar la resiliencia cibernética de sectores críticos y estratégicos.
-
Establecer requisitos de seguridad comunes para organizaciones públicas y privadas.
-
Aumentar la capacidad de respuesta ante incidentes.
-
Homogeneizar las sanciones y el control en toda la UE.
¿A quién aplica?
Amplía mucho el alcance respecto a NIS1. Aplica a:
1. Entidades esenciales (más supervisión y sanciones más graves)
- Energía, transporte, banca, salud, agua, infraestructura digital, administración pública, etc.
2. Entidades importantes
- Proveedores de servicios digitales, servicios postales, manufactura crítica, etc.
También incluye:
-
Proveedores cloud
-
Centros de datos
-
Registradores de dominios
-
Fabricantes de productos críticos (hardware, software)
-
Empresas de más de 50 empleados o con más de 10 millones de € de facturación anual en sectores afectados
️ Obligaciones principales de NIS2
1. Medidas de gestión de riesgos
Las entidades deben aplicar medidas técnicas y organizativas como:
-
Políticas de seguridad de la información
-
Gestión de incidentes
-
Gestión de vulnerabilidades y parches
-
Control de accesos e identidades
-
Continuidad de negocio y recuperación
-
Evaluación de riesgos periódica
-
Seguridad en la cadena de suministro
Muy alineado con ISO 27001, ENS y marcos como NIST o CIS Controls.
️ 2. Notificación de incidentes
-
Los incidentes significativos deben notificarse:
-
Aviso preliminar en 24h
-
Informe detallado en 72h
-
Informe final a los 30 días
-
La notificación debe hacerse a la autoridad competente nacional (en España, previsiblemente INCIBE o el futuro CSIRT nacional único).
3. Responsabilidad de la dirección
-
La alta dirección debe estar implicada.
-
Puede ser sancionada personalmente en caso de incumplimiento grave.
️ Sanciones
-
Hasta 10 millones de € o el 2% del volumen de negocio global (entidades esenciales)
-
Supervisión y auditoría directa por parte de la autoridad competente
-
Posibilidad de suspender temporalmente a directivos reincidentes
Relación con otras normas
| NIS2 | Relación con… |
|---|---|
| ENS | Muchas de las medidas son equivalentes o compatibles |
| ISO 27001/27002 | Framework ideal para demostrar cumplimiento |
| DORA | NIS2 es transversal; DORA aplica solo al sector financiero |
| RGPD | Si el incidente afecta datos personales, se deben cumplir ambas |
| eIDAS 2 | Alineada para confianza digital y servicios críticos |
Conclusión
NIS2 es la norma europea más ambiciosa en materia de ciberseguridad hasta la fecha.
Obliga a organizaciones de sectores críticos e importantes a tomar medidas reales, a notificar incidentes, y a implicar a su dirección.
Su impacto será comparable al del RGPD, pero centrado en resiliencia operativa y seguridad tecnológica.
¿Quieres que te prepare una guía de cumplimiento paso a paso para NIS2 adaptada a una empresa TIC o una administración pública? ¿O una tabla comparativa entre NIS1 y NIS2 para presentar en un informe o comité?