Directiva NIS2

Para responder a las crecientes amenazas que plantean la digitalización y el auge de los ciberataques, la Comisión Europea ha presentado una propuesta para sustituir la Directiva NIS por la NIS2. Con ello se reforzarán los requisitos de seguridad, se abordará la seguridad de las cadenas de suministro, se racionalizarán las obligaciones de información y se introducirán medidas de supervisión más estrictas y requisitos de actuación más rigurosos, incluidas sanciones armonizadas en toda la UE.

El objetivo principal de la Directiva NIS2 es reforzar la ciberseguridad y la resiliencia de las infraestructuras esenciales y los proveedores de servicios digitales en la Unión Europea.

Algunas de las principales diferencias entre la anterior directiva y la nueva incluyen disposiciones más precisas sobre el proceso de notificación de incidentes, el contenido de los informes y el plazo (dentro de las 24h posteriores a la detección del incidente). A nivel europeo, la Directiva NIS2 refuerza la ciberseguridad de las principales tecnologías de la información y la comunicación. Los Estados miembros deberán llevar a cabo evaluaciones de riesgo coordinadas de las cadenas de suministro esenciales en cooperación con la Comisión, la Agencia de la Unión Europa para la Ciberseguridad.  

Lea nuestro folleto para saber más sobre las diferencias entre la anterior y la nueva Directiva.

La Directiva NIS2 afecta a todas las organizaciones que prestan servicios esenciales o importantes para la economía y la sociedad europea. 

Si su organización entra en alguna de las categorías que se indican a continuación, la Directiva NIS2 es aplicable a su caso. 

Entidades esenciales (EE)

Umbral de tamaño: varía según el sector, pero generalmente comprende 250 empleados, un volumen de negocios anual de 50 millones de euros o un balance de 43 millones de euros:

• Energía  
• Transporte  
• Finanzas  
• Administración Pública  
• Sanidad  
• Aerospacial 
• Suministro de agua (potable y residual)  
• Infraestructura digital (por ejemplo, proveedores de servicios de computación en la nube y gestión de las TIC)

Entidades importantes (EI)

Umbral de tamaño: varía según el sector, pero generalmente comprende 50 empleados, un volumen de negocios anual de 10 millones de euros o un balance de 10 millones de euros.  

• Servicios de correos 
• Gestión de residuos  
• Productos químicos  
• Investigación 
• Alimentación  
• Fabricación  
• Proveedores de servicios digitales (redes sociales, motores de búsqueda, marketplaces)

Las industrias cubiertas inicalmente por la Directiva original permanecerán dentro del ámbito de aplicación de la nueva Directiva NIS2. Además, algunas organizaciones más pequeñas, que se consideran esenciales para el funcionamiento de un Estado miembro, se incorporarán al marco NIS2 para abordar los posibles problemas que podrían surgir en caso de ser víctimas de un ciberataque. 

La Directiva NIS2 también reconoce que algunos sectores ya disponen de legislación en materia de ciberseguridad. Cuando estas leyes sectoriales ofrezcan medidas de ciberseguridad comparables o mejores que las especificadas en la Directiva NIS2, esas entidades no estarán cubiertas por las secciones aplicables de la directiva. Sin embargo, las disposiciones de la Directiva NIS2 seguirán aplicándose a las organizaciones que no estén cubiertas por esta legislación sectorial específica.

La Directiva NIS2 introduce nuevas obligaciones para las organizaciones en cuatro ámbitos principales: gestión de riesgos, responsabilidad corporativa, obligación de información y continuidad del negocio

• Gestión de riesgos:

Las organizaciones deben reducir los ciberriesgos para cumplir la nueva directiva. La gestión de incidentes, la mejora de la seguridad de la cadena de suministro, el refuerzo de la seguridad de las redes, un mejor control de los accesos y el cifrado son algunos de los métodos aplicados.

• Responsabilidad corporativa

La Directiva NIS2 exige a la dirección de la empresa que supervise, apruebe y reciba formación sobre los procedimientos de ciberseguridad de la entidad y que aborde los ciberriesgos. La dirección puede enfrentarse a sanciones en caso de infracción, incluida la responsabilidad civil y la suspensión temporal de los cargos directivos.

• Obligación de información

Las entidades esenciales y cruciales deben disponer de sistemas para notificar lo antes posible los sucesos de seguridad que tengan un impacto importante en su prestación de servicios o en sus destinatarios. La Directiva NIS2 establece plazos de notificación, entre los que se incluyen "preavisos’’ de 24 horas.

• Continuidad del negocio

Las organizaciones deben planificar cómo mantendrán la actividad empresarial en caso de incidentes cibernéticos graves. Esta estrategia debe considerar la recuperación del sistema, los protocolos de actuación en situaciones de emergencia y la constitución de un equipo de gestión de crisis.

Una buena forma de garantizar que su empresa cumple con los requisitos de la Directiva NIS2 es mediante la obtención de la certificación ISO 27001 (la Directiva NIS2 hace referencia explícita a la norma ISO 27001). Aunque la norma ISO 27001 (seguridad de la información, ciberseguridad y protección de privacidad) y la Directiva NIS2 tienen objetivos diferentes, se complementan eficazmente. Por otra parte, la norma ISO 22301 cubre aspectos para un sistema de la gestión de continuidad del negocio (SGCN), lo que refuerza aún más el enfoque global de la implantación de la Directiva NIS2.

Consulte nuestra herramienta de mapeo para obtener una visión general accesible del proceso de mapeo entre la Directiva NIS2 y la norma ISO/IEC 27001.

Además de las normas ISO 27001 y 22301, podemos realizar un GAP analysis para su empresa. Nuestros expertos identificarán qué requisitos cumple actualmente y qué pasos son todavía necesarios para lograr el cumplimiento de la Directiva NIS2. 

Dado que uno de los elementos clave de la Directiva NIS2 son las normas de evaluación de la seguridad de la cadena de suministro, es posible que su organización necesite una auditoría de la cadena de suministro. Esta es otra área en la que puede confiar en nuestros profesionales para lograr el cumplimiento de la Directiva NIS2. 

Más información sobre el cumplimiento de la Directiva NIS2:

• Lea nuestro folleto para obtener más información sobre cómo las normas ISO/IEC 27001 e ISO 22301 ayudan a garantizar el cumplimiento de la Directiva NIS2 o bien
• Consulte nuestra herramienta de mapeo fácil de usar que compara los requisitos de la Directiva NIS2 con la norma ISO/IEC 27001.

La fecha límite para que los Estados miembros implanten la Directiva NIS2 a la legislación nacional aplicable es el 17 de octubre de 2024.

En caso de incumplimiento de la Directiva NIS2, si su organización se encuentra dentro de su ámbito de aplicación, podría enfrentar sanciones, que incluyen multas de hasta 10 millones de euros o el 2% del volumen de facturación anual total a nivel mundial (se aplicará la cantidad más elevada). Además de las multas, también podrían imponerse sanciones no monetarias y penales.

En cuanto a las sanciones administrativas, la Directiva NIS2 distingue detenidamente entre entidades esenciales y entidades importantes. 

Si desea obtener más información sobre las sanciones por incumplimiento, descargue nuestro folleto.