Empresa Española Especializada en Ciberseguridad

|
es arrow down
© 2025 S2 Grupo
Actualidad

Directiva NIS2: qué es y cómo afecta a tu empresa

24 Sep 2024

La Directiva NIS2 aparece en un contexto en el que las instituciones europeas están redoblando esfuerzos legislativos alrededor de lo digital.

En este caso, NIS2 aborda los riesgos crecientes vinculados a las amenazas cibernéticas y sienta las bases de una legislación europea en materia de ciberseguridad.

No es la primera vez que la Unión Europea aborda este asunto. Así, la Directiva NIS2 aparece como revisión y ampliación de la Directiva NIS de 2016 (Directiva  2016/1148), que ha terminado por quedarse obsoleta en un momento en el que el impacto de los incidentes de ciberseguridad ha alcanzado cifras récord. La Directiva NIS, fue la primera normativa de la Unión Europea sobre ciberseguridad y que se centraba en asegurar un marco común de seguridad para garantizar un nivel mínimo de seguridad de las redes y sistemas de información en toda la Unión. Un panorama que esta legislación trata de abordar de forma integral. Su objetivo: fomentar los más altos niveles de ciberseguridad frente a las amenazas emergentes en el ámbito europeo. En vigor desde enero de 2023, es en octubre de 2024 cuando llegan las trasposiciones de la Directiva NIS2 a la legislación de cada uno de los Estados miembro, volviéndola por tanto, aplicable. En este contexto, analizamos qué es exactamente la directiva, a qué organizaciones afecta y qué tipo de requisitos establece.

¿Qué es la Directiva NIS2?

La Directiva NIS2 (Directiva 2022/2555) es una legislación de alcance europeo que establece una serie de medidas que tienen por objeto alcanzar un elevado nivel común de ciberseguridad en toda la Unión, con el objetivo de mejorar el funcionamiento interior.

Esta legislación fomenta tres ámbitos de intervención fundamentales:

  • La exigencia de altos niveles de seguridad a los Estados miembros con medidas como la creación de equipos de respuesta a incidentes de seguridad informática (CSIRT) y la autoridad nacional competente de redes y sistemas de información.

  • Creación de un Grupo de Cooperación para fomentar la colaboración entre estados miembros.

  • Impulso de los niveles de ciberseguridad al establecer obligaciones en torno a la ciberseguridad para empresas públicas y privadas en sectores considerados “esenciales” e “importantes” (como detallamos más abajo en este artículo). 

Frente a la anterior Directiva NIS de 2016, algunas de las medidas clave introducidas por la Directiva NIS2 incluyen un ámbito de aplicación mayor; modificaciones en las categorías creadas por la NIS; requisitos de seguridad ampliados; mayor precisión en la descripción de la notificación de incidentes; y un enfoque más intenso en la cadena de suministro y proveedores de organizaciones críticas, introduciendo condiciones más exigentes respecto a la gestión de riesgos en este ámbito.En definitiva, se trata de una iniciativa legislativa que busca proteger la infraestructura digital en los Estados miembros y armonizar los requisitos de ciberseguridad a nivel europeo. Para ello, y acompañando a otras iniciativas recientes como la ley de ciberresiliencia o el Reglamento DORA, establece una serie de requisitos destinados a elevar los esfuerzos de ciberseguridad en un panorama altamente volátil y amenazante como el de la actualidad. 

¿Qué empresas deben cumplir la Directiva NIS2?

En el texto, se describen las empresas a las que va dirigida la ley como “todas las entidades públicas y privadas del mercado interior que cumplan funciones importantes para la economía y la sociedad en su conjunto".

De forma más esquemática, el perfil de las empresas afectadas por la Directiva NIS2 es el siguiente:

¿Qué empresas deben cumplir con la NIS 2?

  • Empresas medianas y grandes, públicas o privadas.

  • Consideradas de alta criticidad y como pertenecientes a sectores críticos (recogida y detallada esta clasificación en los anexos I y II).

  • Llevan a cabo sus actividades en la UE o prestan sus servicios en la UE.

Más específicamente, la ley opta por dividir estas empresas en dos grupos:

  • Entidades Esenciales, sujetas a requisitos más estrictos, rigidez en cuanto a los mecanismos de supervisión y cuantía de las sanciones en caso de incumplimiento. Ejemplos de éstas son empresas de gran tamaño pertenecientes a cualquiera de los sectores de alta criticidad (energía, banca, salud, agua, etc.), u organismos de la Administración Pública central. 

Entidades Importantes, todas las empresas pertenecientes a cualquiera de los sectores recogidos en los Anexos I y II y que no sean esenciales. Ejemplo de éstas pueden ser compañías mayoristas de alimentación, ciertas Entidades Locales, o empresas de sectores comprendidos en el Anexo I pero cuyo tamaño no supere los límites establecidos para las medianas empresas.

Entidades Necesarias y Esenciales de NIS2

¿Qué medidas de ciberseguridad exige la Directiva NIS2?

Respecto a las medidas a tomar, las empresas identificadas en los referidos anexos I y II están obligadas a adoptar “medidas para la gestión de riesgos de ciberseguridad” además de estar sujetas a “obligaciones de notificación” a los CSIRT de referencia o a las autoridades competentes de cada uno de los Estados miembro ante la ocurrencia de incidentes de ciberseguridad. 

Las medidas que las empresas deben tomar para el cumplimiento se describen en el Capítulo IV del texto legislativo. En el texto, se explicita que las entidades deberán implementar "medidas técnicas, operativas y de organización apropiadas y proporcionadas”, y deben incluir, al menos, los siguientes elementos:

  • Políticas de seguridad de los sistemas de información y análisis de riesgos.

  • Gestión de incidentes, tales como identificación de amenazas y vulnerabilidades; respuesta ante incidentes de seguridad mediante protocolos predefinidos; recuperación de servicios y datos afectados para minimizar el impacto; y el análisis post-incidente para sacar lecciones aprendidas y promover la mejora continua.

  • Continuidad de las actividades, a través de la gestión de copias de seguridad y la existencia de planes de continuidad de negocio.

  • Seguridad de la cadena de suministro.

  • Seguridad en la adquisición, el desarrollo y el mantenimiento de sistemas de redes y de información.

  • Políticas y procedimientos para evaluar la eficacia de las medidas para la gestión de riesgos de ciberseguridad.

  • Prácticas básicas de ciberhigiene y formación en ciberseguridad.

  • Políticas y procedimientos relativos a la utilización de criptografía y cifrado.

  • Seguridad de los recursos humanos, las políticas de control de acceso y la gestión de activos.

  • Soluciones de autenticación multifactorial o de autenticación continua.

Cabe destacar que se trata de un listado de mínimos respecto a las diferentes líneas de actuación que las empresas deben abordar. A su vez, el texto reconoce la necesidad de que cada entidad establezca las medidas de forma proporcional a los riesgos específicos a los que se expone, al tamaño de la organización y al impacto y gravedad de los posibles incidentes.

Obligaciones de notificación

La Directiva NIS2 establece de forma detallada las obligaciones de notificación de incidentes de ciberseguridad en el artículo 23. La obligación se activa ante cualquier “incidente significativo”, es decir, un incidente que, según aparece en el texto:

  • Ha causado o puede causar graves perturbaciones operativas de los servicios o pérdidas económicas para la entidad afectada.

  • Ha afectado o puede afectar a otras personas físicas o jurídicas al causar perjuicios materiales o inmateriales considerables.

En estos casos, las entidades están obligadas a notificar el incidente al CSIRT o a la autoridad competente (a definir por cada uno de los Estado miembro), con las siguientes características y plazos, que parafraseamos del texto:

  1. Una alerta temprana sin demora indebida y, en cualquier caso, en el plazo de veinticuatro horas desde que se haya tenido constancia del incidente significativo.

  2. Notificación del incidente con actualización de la información de la primera alerta sin demora indebida y, en cualquier caso, en el plazo de setenta y dos horas desde que se haya tenido constancia del incidente significativo; se expondrá una evaluación inicial del incidente significativo, incluyendo su gravedad e impacto, así como indicadores de compromiso.

  3. Un informe intermedio con las actualizaciones pertinentes a instancias de un CSIRT o de la autoridad competente.

  4. Un informe final, a más tardar un mes después de presentar la notificación del incidente.

  5. En el caso de que el incidente siga en curso en el momento de la presentación del informe final, los Estados miembros velarán por que las entidades afectadas presenten un informe de situación en ese momento y un informe final en el plazo de un mes a partir de que hayan gestionado el incidente.

El papel de los órganos de dirección

El texto pone a los órganos de dirección como responsables de garantizar su cumplimiento. Más específicamente, se establece que los órganos de dirección de las entidades deben tomar un papel activo en el cumplimiento, y quedan encargados de acciones clave como aprobar la adecuación de las medidas, supervisar su aplicación y adquirir formación suficiente para ser capaces de evaluar si sus prácticas de gestión de riesgos son adecuadas y tomar decisiones al respecto. 

¿Cuáles son las sanciones por incumplimiento?

La Directiva NIS2 establece una serie de acciones orientadas a velar por el cumplimiento de los requisitos de seguridad. 

Las medidas de supervisión y ejecución relativas a entidades esenciales aparecen en el artículo 32, mientras que las relativas a entidades importantes se exponen en el artículo 33. 

Las medidas son más estrictas en el primer caso, cuando las entidades podrán ser sometidas a supervisión tanto a priori como a posteriori, de forma periódica y de forma específica. En el caso de las entidades importantes, la supervisión será a posteriori y específica. La suspensión temporal de las actividades podría aplicarse en casos de riesgos severos para la seguridad nacional o de la Unión Europea.

Siguiendo estos diferentes grados de acuerdo a ambos tipos de entidades (explicitados en el texto legislativo), entre las acciones de supervisión destacan:

  • Inspecciones in situ.

  • Auditorías de seguridad.

  • Análisis de seguridad.

  • Solicitudes de información necesaria para evaluar las medidas de gestión de riesgos adoptadas.

  • Solicitudes de acceso a datos e información para supervisión.

  • Solicitudes de pruebas de la aplicación de las políticas de ciberseguridad, como, por ejemplo, los resultados de las auditorías.

El texto detalla a su vez un listado de las sanciones previstas, que van desde el apercibimiento o la adopción de instrucciones específicas, hasta ordenar hacer público el incumplimiento, la imposición de multas administrativas, la suspensión y las prohibiciones temporales.

Entre las sanciones económicas, se prevén:

  • Para entidades esenciales, un máximo de 10.000.000 de euros o hasta el 2% del volumen de negocios total anual a nivel mundial (la de mayor cuantía).

  • Para entidades importantes, un máximo de 7.000.000 de euros o el 1,4% del volumen de negocios total anual a nivel mundial (la de mayor cuantía).

Es relevante mencionar cómo estas sanciones buscan no solo penalizar a las entidades, sino también fomentar una cultura de cumplimiento.

¿Cuándo entra en vigor la Directiva NIS2?

La Directiva NIS2 quedó aprobada formalmente en noviembre de 2022; su publicación en el Diario Oficial de la UE (DOUE) tuvo lugar en diciembre de 2022; y entró en vigor el 16 de enero de 2023. 

El plazo para su transposición en los países de la Unión Europea venció el 17 de octubre de 2024. No obstante, el estado de su trasposición es muy dispar, y todavía no ha sido completada por todos los Estados miembro. Este es el caso de España, que en enero de 2025 publicó el Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad, integrando las prescripciones de la Directiva NIS2 en la regulación nacional, pero que todavía no ha sido aprobado.

En cualquier caso, ante su inminente aprobación, tanto las empresas como las administraciones afectadas ya deben evaluar su nivel de cumplimiento, implementar los controles exigidos, y preparar sus mecanismos de notificación de incidentes para cumplir con los plazos exigidos, involucrando a la Dirección en la toma de decisiones y garantizando su responsabilidad activa.

Desafíos de la NIS2 en OT

En los últimos años, la Unión Europea ha dado un paso decisivo para blindar sus infraestructuras esenciales frente al creciente riesgo cibernético. La Directiva NIS2 nace con un objetivo claro: armonizar y fortalecer la detección, prevención y respuesta ante incidentes en toda la UE. Su aplicación plantea desafíos que exigen una estrategia adaptada a cada entorno, especialmente porque una interrupción en estos servicios puede tener un impacto directo y crítico en la sociedad.

Uno de los primeros retos es su enfoque predominante en sistemas IT con escasa mención al entorno OT. Esto es especialmente relevante puesto que los sectores críticos a los que se refiere la Directiva como energía, agua o transporte basan la prestación de sus servicios en procesos controlados por sistemas industriales como PLCs, SCADAs, pasarelas, RTUs, etc.

La protección de los entornos industriales exige comprender la lógica del negocio, las dependencias entre sistemas y los impactos cruzados de decisiones que antes podían parecer aisladas, lo que hace que hablar de una separación clara entre IT y OT resulte cada vez más complicado.

Otro reto que identificamos es la complejidad para abordar algunos de los requerimientos que se mencionan en la directiva. Muchas organizaciones siguen operando con prácticas incipientes: inventarios de activos estáticos realizados manualmente, ausencia de políticas formales y mecanismos de seguridad, equipos obsoletos sin una planificación clara de protección y migración, etc.

Asimismo, el personal encargado de la administración de los sistemas OT a menudo carece de formación especializada en ciberseguridad, lo que dificulta tanto la identificación de incidentes como la adopción de protocolos de respuesta coordinada.

Estas particularidades hacen que no siempre sea posible aplicar prácticas y tecnologías propias de entornos puramente IT. En consecuencia, algunas obligaciones de NIS2 requieren no solo soluciones tecnológicas avanzadas, sino también la profesionalización de procesos y equipos de ciberdefensa. Esta función ya no puede ejercerse de manera independiente ni en entornos aislados (IT por un lado y OT por otro), sino que exige una respuesta conjunta y coordinada: IT + OT.

S2 Grupo: tus aliados para el cumplimiento de la Directiva NIS2

La Directiva pone de lado de las organizaciones el deber de llevar sus capacidades de ciberseguridad al nivel adecuado para protegerse. Así, aunque el texto detalla las áreas a tratar, el foco se pone en el compromiso de las entidades con su propia protección, teniendo en cuenta todos los riesgos, tanto digitales como físicos, que podrían propiciar un incidente de ciberseguridad. 

Esto se refleja, además, en el papel predominante que el texto otorga a los órganos de dirección, encargados de aplicar de forma proporcional las medidas en función de los riesgos específicos a los que se expone la entidad y su impacto. Un punto clave por parte de estos órganos de dirección es la necesidad de mantenerse actualizados sobre los cambios legislativos y los riesgos emergentes. 

Auditorías, inspecciones, solicitudes sobre datos, documentos e información… La Directiva NIS2 supone un esfuerzo no solo en la implementación de medidas de ciberseguridad, sino también a nivel de documentación y registro. Todo ello sustentado en un análisis de riesgos detallado, y acompañado de formación, conocimientos y habilidades actualizados que capaciten tanto a los órganos de dirección como a los trabajadores para ser parte de las líneas de defensa de la organización ante los peligros emergentes.

En este contexto, resulta imprescindible contar con aliados de ciberseguridad que aborden las necesidades de la Directiva NIS2 a través de equipos especialistas y multidisciplinares en el ámbito IT+OT, garantizando el éxito del proceso . Es aquí donde entra en juego la labor de S2 Grupo. 

Como empresa líder a la vanguardia en ciberseguridad y como parte de nuestro catálogo de soluciones de ciberseguridad, ofrecemos la solución Gobierno, Riesgo y Cumplimiento, una iniciativa destinada a acompañar a las organizaciones en lograr la conformidad con legislación en materia de ciberseguridad, incluyendo la Directiva NIS2. ¿Quieres preparar a tu organización para el cumplimiento de la Directiva NIS2? Ponte en contacto con nosotros y habla con nuestro equipo sobre cómo podemos ayudarte.

Contacto cumplimiento directiva NIS2

Artículos relacionados
Ataques Zero Day: qué son, por qué son peligrosos y cómo protegerse
Leer más →
Guía de herramientas de ciberseguridad para empresas: esenciales, avanzadas y específicas
Leer más →
Zero Trust en entornos OT: ¿es posible?
Leer más →

Síguenos en nuestra newsletter

Suscríbete a través de tu email para estar al día