Qué es la directiva NIS2, cómo afecta y sanciones que conlleva

¿Qué es NIS2?

El pasado 18 de octubre del 2024 fue la fecha de arranque de la nueva directiva NIS2 para los estados miembros de la Unión Europea.

Una normativa que amplía el alcance de su predecesora, la Directiva NIS, a fin de reforzar la seguridad en el entorno informático en más sectores críticos, al tiempo que garantizar una mayor protección frente a los ataques digitales.

Toda una iniciativa que obliga a las empresas, organismos públicos y a sus proveedores a fortalecer sus entornos con importantes penalizaciones, en caso de no llevarse a cabo.

El acrónimo NIS proviene de Network and Information Security, un factor cada vez más relevante para la legislación ante el aumento considerable de las amenazas cibernéticas.

El propósito principal de la Directiva NIS2 de 27 diciembre de 2022 no es otro que el de establecer un nivel estandarizado de resiliencia en el ámbito de la ciberseguridad para todo el entorno europeo.

Para ello, insta a grandes y medianas empresas, incluso ciertas pymes, y por supuesto a las administraciones, a gestionar adecuadamente los riesgos de ciberseguridad, así como responder con eficacia a los incidentes.

Antecedentes de la legislación

La regulación antecesora, NIS, dirigida casi exclusivamente a servicios esenciales, fue aprobada por la Unión Europea en 2016, aunque quedó reflejada posteriormente en nuestro país con el Real Decreto Ley 12/2018.

Ya en diciembre de 2022 los estados miembros aprobaron la Directiva (UE) 2022/2555, hoy conocida como NIS2, que no entraría en vigor hasta el 16 de enero de 2023, si bien los países tuvieron tiempo de adoptarla hasta octubre del 2024.

En España, la transposición de esta directiva no se ha hecho efectiva hasta la entrada en vigor la Ley de Coordinación y Gobernanza de la Ciberseguridad, un anteproyecto de Ley fue aprobado el pasado 14 de enero de 2025.

Las empresas ya tienen que haber empezado a trabajar en el cumplimiento de esta norma, puesto que la ley española no se desvía mucho de la directiva.

Relación con otras regulaciones de ciberseguridad

NIS2 forma parte de un conjunto de regulaciones de la Unión Europea, como el Reglamento DORA, la Directiva CER, el Reglamento sobre la Ciberseguridad y su esquema de certificación, y el futuro Reglamento para la Ciberresiliencia.

Aunque básicamente NIS2 y DORA son similares en el enfoque y obligaciones para las empresas, DORA se centra expresamente en el sector financiero mientas NIS2 cuenta con más amplio en alcance, diferenciándose igualmente en las medidas, requisitos y pruebas de resiliencia.

Por su parte, CER se centra en buscar mejorar la resiliencia de las entidades críticas en Europa; tiene por objetivo es garantizar que los servicios esenciales se puedan prestar sin interrupciones.

Las entidades afectadas por CER son muy similares a las de alta criticidad de NIS2 y cuentan con un régimen sancionador específico.

¿A qué sectores afecta NIS2?

NIS2 viene a ampliar el alcance y las obligaciones para un mayor número de sectores.

Un total de 18 industrias deberán acatar la nueva ley bajo penas de sanciones, de ellas, 11 se consideran como ‘alta criticidad’, entre las que se encuentran organizaciones que operan en sectores como la energía, el transporte, la salud, la banca y la infraestructura digital, entre otras, que deben cumplir con una serie de requisitos para mejorar su resiliencia frente a ciberataques.

Y otros 7 sectores son considerados como ‘críticos’; estos son, investigación, química, alimentación, servicios postales, proveedores digitales, fabricación y gestión de residuos.

Además, y de forma independiente del tamaño de la sociedad corporativa, afectará a muchos operadores de sectores esenciales (OSE) y a Proveedores de Servicios Digitales (PSD) tales como proveedores de servicios de confianza, de registro de dominios, servicios de salud o de investigación.

Asimismo, entran en el campo de acción de la normativa de ciberseguridad NIS2 incluso las pymes o micropymes, siempre que sean críticas en su actividad para el país.

Tamaño y facturación

Por otro lado, reseñar que la ley menciona que serán objeto de aplicación de esta ley las compañías de entre 50 y 250 empleados, y entre 10 y 50 millones de euros de ingresos anuales.

Además, las grandes corporaciones que cuenten con más de 250 empleados y 50 millones de euros de ingresos anuales.

Nuestro país cuenta con cerca de 25.000 empresas con plantillas superiores a 50 empleados, por lo que tendrán que cumplir con la Directiva de ciberseguridad convenientemente.

Existen unos determinados casos en los que una pequeña empresa debe aplicar NIS2. Por ejemplo, si su actividad es considerada crítica o es el único proveedor de un servicio esencial para una organización o estado.

Tipos de entidades según NIS2

La normativa europea habla de dos tipos de entidades para clasificar a las empresas y organizaciones que tienen que sujetarse a esta ley:

Entidades esenciales

Aquellas que se incluyan en los sectores de alta criticidad, pero también los proveedores de servicios cualificados y los que prestan servicio DNS, sea cual fuese el tamaño de la entidad.

También se acogerán a esta clasificación los proveedores de servicios de comunicación electrónica y redes, así como cualquier otra entidad que la administración del estado considere como crítica y esencial.

Entidades importantes

En este caso, son las que pertenecen a los sectores de alta criticidad o a otros sectores críticos que no pueden considerarse entidades esenciales.

Las medidas a adoptar si te afecta NIS 2

En el caso de que una compañía u organización tenga que aplicar la Directiva, es fundamental aplicar una serie de medidas:

Análisis de riesgos y gobernanza

Hace referencia a realizar un inventario que detalle la infraestructura de TI para así identificar elementos, medidas de seguridad actuales y posibles vulnerabilidades.

Gestión de incidentes

Ahora es esencial disponer de equipos de monitorización que respondan a las incidencias en ciberseguridad.

Ya no se trata solo de seguridad vigilada desde la organización, incluso se sugiere la contratación de Servicios de Seguridad Gestionados (MSS) desde un Centro de Operaciones de Seguridad (SOC) de alta seguridad.

Mantenimiento de operaciones

Las empresas deben encargar a expertos en seguridad TI que prueben y analicen la protección de los dispositivos y software en caso de crisis.

Seguridad en la cadena de suministro

Surge con NIS2 este componente especial como novedad. Por tanto, de ahora en adelante, también deben proteger exhaustivamente sus cadenas de suministro, ya sean físicas o digitales, contra los posibles ataques.

Evaluación de la eficacia

Este punto requiere de la elaboración de informes facilitados por los especialistas donde se detallen la supervisión realizada, así como el mantenimiento y la actividad relacionada con la mejora de la protección.

Otros pasos para adaptarse

Igualmente, otras medidas que se suman a las anteriores como pasos importantes a la hora de cumplir con la nueva Directiva NIS2, son:

La formación del personal

Establecer cursos y políticas de información a todo el personal de la empresa como medidas de ciberhigiene, protección y previsión.

El cifrado de los datos

Sobre todo para proteger la información almacenada y el procesamiento de los datos. Compañías y organizaciones tiene que implementar políticas de cifrado que eviten la intrusión.

Controles de acceso

Tanto el control de acceso como la gestión de los activos son dos factores que hay que impulsar ante la reciente normativa.

Son los expertos en ciberseguridad quienes deben asegurar los datos de identidad necesarios para que funcionen los sistemas de gestión de identidades y accesos (IAM).

Tanto el control de acceso como la gestión de los activos son dos factores que hay que impulsar ante la reciente normativa

Requisitos clave de NIS2

Las entidades que deben cumplir con NIS2 deben adoptar estas medidas técnicas y operativas para gestionar los riesgos de ciberseguridad, mientras minimizan el riesgo de impactos en sus servicios, así como en servicios a terceros.

La normativa lo deja claro: estas medidas y requisitos se basan en una planificación que tenga en cuenta todos los posibles riesgos para proteger la red y los sistemas de información.

Además, las medidas deben ser proporcionales al riesgo, al tamaño y al coste que pueden dejar los incidentes, pero también las empresas deberán estar siempre al día en el avance de la seguridad informática, así como de las leyes regionales, nacionales e internacionales en esta materia.

Para saber si todo ello se cumple, la UE puede realizar evaluaciones de riesgos de servicios, sistemas o cadenas de suministro crítico.

También, imponer obligaciones de certificación a determinadas entidades según los esquemas europeos.

Igualmente, los organismos encargados de la supervisión también pueden ejecutar actos para el cumplimiento de las medidas que establecen los requisitos técnicos de las normas europeas.

Gestión de incidentes

Toda empresa u organismo que tenga que aplicar la Directiva NIS2 está obligado a declarar a las autoridades competentes cualquier tipo de incidente importante que se produzca relacionado con la ciberseguridad.

Ello incluye alertas tempranas en las primeras 24h, un seguimiento a las 72h y un informe final detallado del incidente que tendrá que ser presentado antes de 30 días desde la fecha del suceso.

De ahí parte la importancia de monitorizar la infraestructura y controlar los accesos para cumplir con los requisitos.

En cada estado miembro de la UE se designa una autoridad competente encargada de supervisar mediante inspecciones, analizar la seguridad y realizar auditorías, al tiempo que son los encargados de recibir los informes de incidencias.

En definitiva, son los encargados de velar por el cumplimiento de la normativa europea y quienes pueden adoptar instrucciones de sanción e incluso paralización de la actividad.

Igualmente, tendrán la obligación de notificar a sus CSIRT (Computer Security Incident Response Team) de referencia y sin demora, todo incidente de seguridad que tenga un impacto significativo.

Régimen sancionador de la directiva NIS 2, qué multas conlleva

Infligir la normativa puede acarrear serias multas.

Así, la Directiva expresa como referencia hasta 10 millones de euros o 2% del volumen de negocio mundial de la entidad en el caso de las entidades esenciales y de 7 millones o el 1,4% del volumen de negocio para las importantes.

Pero no solamente se trata de sanciones monetarias, NIS2 establece que las autoridades nacionales pueden igualmente poner sanciones no monetarias a las entidades que incumplan con la legislación.

Entre ellas, órdenes administrativas que obliguen a subsanar la infracción, instrucciones vinculantes de medidas específicas de seguridad a aplicar o establecer auditorías de expresa obligación.

Además, este tipo de sanción puede conllevar órdenes de notificación a los clientes sobre riesgos potenciales y llegar a incluso a prohibiciones de prestación de servicios.

Responsabilidad de los directivos

La ampliación de la Directiva NIS trae consigo una mayor responsabilidad de la parte directiva.

Esta nueva regulación responsabiliza directamente a los altos cargos de los fallos producidos en seguridad de los sistemas desde el punto de vista de negligencia.

Por eso, en caso de ser detectado por las autoridades sin previo aviso, estas pueden exigir a la organización la divulgación de un comunicado público sobre el incumplimiento, e incluso, difundir la identidad de los responsables del suceso, además de imponer prohibiciones temporales a los directivos para la realización de sus tareas.

Todas estas sanciones ponen de relieve el compromiso de la UE por priorizar la ciberseguridad en todos los entornos de las organizaciones llevando la responsabilidad máxima a los directivos, y no solo a los departamentos de IT.

Es una manera de impulsar la seguridad en el entorno europeo y de aumentar su capacidad de recuperación ante desastres informáticos.