Directiva NIS2Todo lo que debes saber
La Directiva NIS2 refuerza la ciberseguridad en Europa con requisitos más estrictos, mayor alcance sectorial y sanciones significativas. Prepara tu empresa con esta guía completa.
Datos clave NIS2
Fecha limite transposicion
17 octubre 2024 (en proceso en España)
Sancion maxima
10M euros o 2% facturacion global
Sectores afectados
18 sectores esenciales e importantes
Empresas afectadas
Medianas y grandes de sectores criticos
¿Qué es la Directiva NIS2?
La Directiva NIS2 (Network and Information Security Directive 2) es la normativa europea que establece medidas para garantizar un alto nivel común de ciberseguridad en toda la Unión Europea. Adoptada en enero de 2023, reemplaza y amplía significativamente la directiva NIS original de 2016.
NIS2 surge como respuesta al aumento exponencial de ciberamenazas y la creciente dependencia digital de las economías europeas. La pandemia aceleró la transformación digital, exponiendo vulnerabilidades que los atacantes aprovecharon, con un incremento del 300% en incidentes de ransomware entre 2019 y 2022.
Los principales cambios respecto a NIS1 incluyen: ampliación de sectores cubiertos (de 7 a 18), requisitos de seguridad más específicos, régimen sancionador reforzado, responsabilidad de los órganos de dirección, y obligaciones estrictas de notificación de incidentes.
Sectores afectados por NIS2
NIS2 distingue entre entidades esenciales (regulación estricta) y entidades importantes (regulación proporcionada). Estos son los principales sectores cubiertos.
Energía
Electricidad, petróleo, gas, hidrógeno, calefacción
Transporte
Aéreo, ferroviario, marítimo, por carretera
Banca
Entidades de crédito y financieras
Salud
Hospitales, laboratorios, farmacéuticas
Agua
Suministro y saneamiento de aguas
Infraestructura Digital
DNS, IXPs, cloud, data centers, CDN
Administración Pública
Entidades de gobierno central y regional
Espacio
Operadores de infraestructuras espaciales
¿No estás seguro si tu empresa está afectada?
Utiliza nuestra herramienta de evaluación gratuita para determinar si tu organización debe cumplir con NIS2 y qué requisitos específicos aplican.
Evaluar mi empresaCómo prepararte para NIS2
Sigue este roadmap de 6 fases para asegurar el cumplimiento de NIS2 en tu organización.
Evaluación inicial
Determinar si tu empresa está en el ámbito de NIS2 y su clasificación
Análisis de gaps
Identificar diferencias entre estado actual y requisitos NIS2
Plan de acción
Definir roadmap de implementación priorizado por riesgo
Implementación
Desplegar controles técnicos y organizativos requeridos
Documentación
Formalizar políticas, procedimientos y evidencias
Monitorización
Establecer vigilancia continua y mejora del sistema
Medidas de seguridad obligatorias
NIS2 establece un conjunto mínimo de medidas técnicas y organizativas que todas las entidades en su ámbito deben implementar. Estas medidas cubren 10 áreas fundamentales.
Ver soluciones de complianceAnálisis de riesgos
Evaluación continua de amenazas y vulnerabilidades
Gestión de incidentes
Detección, respuesta y notificación en 24-72h
Continuidad de negocio
Planes de backup, recuperación y gestión de crisis
Seguridad supply chain
Evaluación de proveedores y terceros críticos
Desarrollo seguro
Seguridad en adquisición y desarrollo de sistemas
Evaluación de eficacia
Auditorías y pruebas de los controles implementados
Higiene y formación
Prácticas básicas y concienciación del personal
Criptografía
Cifrado de datos en tránsito y en reposo
Control de acceso
Gestión de identidades y acceso privilegiado
Autenticación MFA
Autenticación multifactor y comunicaciones seguras
Régimen sancionador NIS2
10M€
o 2% facturación global anual
Energía, transporte, banca, salud, agua potable, infraestructura digital, administración pública, espacio.
7M€
o 1.4% facturación global anual
Servicios postales, residuos, químicos, alimentación, fabricación, proveedores digitales, investigación.
Responsabilidad de los directivos
NIS2 introduce responsabilidad personal para los órganos de dirección. Los directivos deben aprobar las medidas de seguridad, supervisar su implementación, y pueden ser inhabilitados temporalmente en caso de incumplimiento grave.
Preguntas frecuentes sobre NIS2
Resolvemos las dudas más comunes sobre la Directiva NIS2 y su aplicación en España
NIS2 (Network and Information Security Directive 2) es la normativa europea que establece medidas para un alto nivel común de ciberseguridad en la UE. Reemplaza a NIS1, ampliando sectores afectados, endureciendo requisitos y aumentando sanciones.
Los Estados miembros debían transponer NIS2 antes del 17 de octubre de 2024. España está en proceso de transposición mediante el nuevo anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad. Las empresas deben prepararse ya para cumplir cuando entre en vigor.
NIS2 aplica a entidades esenciales (energía, transporte, banca, salud, agua, infraestructuras digitales) y entidades importantes (servicios postales, gestión de residuos, alimentación, fabricación, proveedores digitales). El criterio incluye empresas medianas y grandes de estos sectores.
Para entidades esenciales: hasta 10 millones de euros o 2% de la facturación global anual. Para entidades importantes: hasta 7 millones de euros o 1.4% de la facturación. Además, los directivos pueden enfrentar responsabilidad personal.
NIS2 requiere: análisis de riesgos y políticas de seguridad, gestión de incidentes, continuidad de negocio y gestión de crisis, seguridad de la cadena de suministro, seguridad en adquisición y desarrollo de sistemas, evaluación de eficacia de medidas, higiene cibernética y formación, criptografía y cifrado, control de acceso y gestión de activos.
Los proveedores de servicios gestionados (MSPs) entran en el ámbito de NIS2 como proveedores de servicios digitales. Además, todas las entidades deben evaluar la seguridad de sus proveedores críticos, lo que impacta a toda la cadena de suministro.
¿Listo para cumplir con NIS2?
Nuestros expertos en ciberseguridad y compliance te ayudan a evaluar tu situación actual, identificar gaps, y desarrollar un plan de acción para cumplir con todos los requisitos NIS2.