Qué es la Directiva NIS2 (Directiva UE 2022/2555)
La Directiva NIS2 (Network and Information Security 2), publicada como Directiva UE 2022/2555 del Parlamento Europeo y del Consejo, es el marco regulatorio de ciberseguridad más ambicioso aprobado por la Unión Europea hasta la fecha. Entró en vigor el 16 de enero de 2023, con obligación de transposición por los Estados miembros antes del 17 de octubre de 2024.
Su objetivo es elevar el nivel general de ciberseguridad en toda la UE, garantizando que los sectores críticos y los prestadores de servicios digitales dispongan de medidas técnicas, operativas y organizativas suficientes para prevenir, detectar y responder a ciberincidentes. NIS2 no es una norma voluntaria: es legislación vinculante que los Estados deben incorporar a su ordenamiento jurídico y que las empresas afectadas deben cumplir bajo pena de sanción.
En España, la transposición se realiza mediante la actualización de la Ley 9/2018 de Seguridad de las Redes y Sistemas de Información (Ley NIS). El proceso legislativo está en curso, pero las obligaciones de la directiva son aplicables desde que concluya la transposición nacional. Las empresas que no comiencen a prepararse ahora corren el riesgo de enfrentarse a plazos muy ajustados una vez publicada la ley española.
Diferencia entre NIS1 y NIS2: qué cambia
La primera Directiva NIS (2016) supuso un punto de partida importante pero con un alcance muy limitado: afectaba principalmente a operadores de servicios esenciales (OSE) y proveedores de servicios digitales (PSD) en sectores muy concretos, y su implementación fue desigual entre los Estados miembros.
NIS2 supone un salto cualitativo en cuatro dimensiones clave:
- Amplitud del ámbito: NIS2 incorpora 10 sectores de alta criticidad y 7 sectores importantes adicionales, multiplicando el número de entidades afectadas. Se estima que en España pasarán de varios cientos a varios miles las empresas obligadas.
- Eliminación del criterio discrecional: Bajo NIS1, los Estados decidían qué entidades eran operadores de servicios esenciales. NIS2 establece criterios objetivos de tamaño (empresa mediana o grande) y sector que determinan automáticamente la inclusión.
- Responsabilidad directiva: NIS2 introduce responsabilidad personal para los órganos de dirección de las entidades afectadas. Los consejos de administración deben aprobar las medidas de gestión de riesgos y pueden ser declarados responsables de incumplimientos graves.
- Obligaciones reforzadas: Gestión de riesgos más estructurada, requisitos de notificación de incidentes más estrictos (alerta inicial en 24 horas, notificación completa en 72 horas), mayor énfasis en la seguridad de la cadena de suministro y mecanismos de supervisión más robustos por parte de las autoridades competentes.
Pide presupuesto en 24 horas. Sin compromiso.
¿A qué empresas afecta NIS2 en España? Entidades esenciales vs importantes
NIS2 establece dos categorías de entidades afectadas con obligaciones y régimen sancionador diferenciados:
Entidades esenciales son las organizaciones de gran tamaño (más de 250 empleados o más de 50 millones de euros de facturación) que operan en los sectores de alta criticidad definidos por la directiva: energía, transporte, banca, infraestructuras de los mercados financieros, sector sanitario, agua potable, aguas residuales, infraestructura digital, gestión de servicios TIC (B2B) y sector espacial. También quedan incluidas automáticamente las administraciones públicas centrales y regionales, con independencia de su tamaño.
Entidades importantes son las empresas medianas (más de 50 empleados o más de 10 millones de euros de facturación) que operan en los sectores de alta criticidad antes mencionados, y también las empresas medianas y grandes de los sectores adicionales: servicios postales y de mensajería, gestión de residuos, fabricación/producción y distribución de productos químicos, producción/transformación y distribución de alimentos, fabricación (dispositivos médicos, equipos electrónicos, maquinaria, vehículos de motor), proveedores digitales (plataformas de redes sociales, motores de búsqueda, marketplaces) e investigación.
La distinción es relevante porque las entidades esenciales están sometidas a supervisión ex-ante (las autoridades pueden inspeccionarlas en cualquier momento sin incidente previo), mientras que las entidades importantes están sujetas a supervisión ex-post (las autoridades actúan principalmente en respuesta a indicios de incumplimiento o tras un incidente).
Sectores incluidos en NIS2
| Sectores de alta criticidad (Anexo I) | Sectores adicionales (Anexo II) |
|---|---|
| Energía (electricidad, petróleo, gas, hidrógeno) | Servicios postales y de mensajería |
| Transporte (aéreo, ferroviario, marítimo, por carretera) | Gestión de residuos |
| Banca e infraestructuras mercados financieros | Fabricación/distribución de productos químicos |
| Sector sanitario (hospitales, laboratorios, I+D farmacéutica) | Producción/distribución de alimentos |
| Agua potable y aguas residuales | Fabricación (dispositivos médicos, equipos electrónicos, vehículos) |
| Infraestructura digital (IXPs, DNS, TLD, proveedores cloud, CDN, datacenter) | Proveedores digitales (marketplaces, buscadores, redes sociales) |
| Gestión de servicios TIC (B2B: MSPs, MSSPs) | Investigación (universidades, centros de I+D) |
| Administraciones públicas (central y regional) | |
| Sector espacial (operadores de infraestructura terrestre) |
Obligaciones concretas de NIS2
El artículo 21 de la Directiva NIS2 establece las medidas de gestión de riesgos de ciberseguridad que deben implementar las entidades afectadas. No se trata de una lista de verificación cerrada, sino de un marco de requisitos basado en riesgos que la organización debe adaptar a su contexto. Las medidas mínimas obligatorias incluyen:
- Políticas de seguridad y análisis de riesgos: Política de seguridad de la información aprobada por la dirección y proceso documentado de análisis y gestión de riesgos, revisado periódicamente.
- Gestión de incidentes: Procedimientos para detectar, clasificar, notificar y gestionar incidentes de seguridad. La notificación a la autoridad competente debe hacerse en plazos muy estrictos: alerta temprana en 24 horas, notificación formal en 72 horas e informe final en un mes.
- Continuidad del negocio: Planes de continuidad operativa y de recuperación ante desastres que incluyan gestión de crisis y capacidad de restauración de sistemas y datos.
- Seguridad de la cadena de suministro: Evaluación de la seguridad de proveedores y subcontratistas, incluyendo cláusulas contractuales de seguridad y procedimientos de verificación.
- Seguridad en el desarrollo y mantenimiento de sistemas: Prácticas de desarrollo seguro, gestión de vulnerabilidades y política de divulgación coordinada.
- Evaluación de la eficacia: Procedimientos para evaluar regularmente la efectividad de las medidas implementadas (auditorías, pruebas de penetración, ejercicios de simulación).
- Prácticas básicas de ciberhigiene y formación: Formación del personal en ciberseguridad y políticas de uso de herramientas digitales.
- Criptografía y cifrado: Uso de cifrado para proteger datos sensibles en reposo y en tránsito.
- Control de acceso y autenticación: Gestión de identidades, autenticación multifactor y acceso con privilegios mínimos.
Pide presupuesto en 24 horas. Sin compromiso.
Sanciones por incumplimiento de NIS2 en España
NIS2 establece un régimen sancionador significativamente más severo que su predecesora. Las sanciones máximas varían según la categoría de entidad:
Para las entidades esenciales, las infracciones graves pueden acarrear multas de hasta 10 millones de euros o el 2% del volumen de negocio anual mundial total del ejercicio anterior (se aplica el importe más elevado). Para las entidades importantes, el límite es de 7 millones de euros o el 1,4% del volumen de negocio anual.
Pero las sanciones económicas no son lo único relevante. NIS2 introduce, por primera vez en el ámbito de la ciberseguridad europea, la posibilidad de que las autoridades competentes impongan medidas no pecuniarias a las entidades esenciales, entre ellas: suspensión temporal de la certificación o autorización de los servicios prestados, prohibición temporal al directivo responsable de ejercer funciones directivas en la organización, y publicación de la resolución sancionadora (con el consiguiente impacto reputacional).
En España, la autoridad supervisora para la mayoría de sectores será el INCIBE (para entidades privadas) y el CCN (para administraciones públicas y sus proveedores), con coordinación del DSN en materia de gestión de crisis.
NIS2 y ENS: la sinergia del 50%
Para las empresas españolas que ya disponen de certificación ENS, la adecuación a NIS2 es significativamente más llevadera. El ENS y NIS2 comparten aproximadamente el 50% de sus requisitos y controles, ya que ambos marcos están orientados a la protección de sistemas de información críticos y beben de las mismas fuentes en términos de buenas prácticas de ciberseguridad.
Los controles ENS directamente reutilizables para NIS2 incluyen, entre otros: la política de seguridad aprobada por la dirección, el análisis y gestión de riesgos (metodología MAGERIT compatible con NIS2), los controles de acceso y autenticación, la gestión de incidentes y el proceso de notificación, la seguridad en las comunicaciones y el cifrado, la gestión de continuidad del negocio, y la formación y concienciación del personal.
La brecha entre ENS y NIS2 se concentra principalmente en: la gestión de la cadena de suministro (NIS2 es más exigente en este punto), la notificación de incidentes a la autoridad competente en plazos específicos (el protocolo ENS es diferente), y los requisitos de responsabilidad directiva. Una empresa con ENS Media o Alta puede completar su adecuación a NIS2 en pocas semanas adicionales de trabajo.
Cómo cumplir NIS2: hoja de ruta
El camino hacia el cumplimiento de NIS2 sigue una secuencia lógica que Avson ha desarrollado y validado en decenas de proyectos:
- Verificación del ámbito (semanas 1-2): Confirmar si la organización queda dentro del ámbito de NIS2 en función de su sector, tamaño y actividad. Este paso es crítico para evitar tanto la infrapreparación como el sobrecoste de prepararse para obligaciones que no aplican.
- Análisis de brechas (semanas 2-4): Comparar el estado actual de seguridad de la organización con los requisitos del artículo 21 de NIS2. Si existe ENS o ISO 27001, se parte de una base sólida.
- Plan de tratamiento de brechas (semanas 4-6): Priorizar las medidas a implementar en función del riesgo, el impacto y los recursos disponibles. Incluye timeline, responsables y presupuesto.
- Implementación de medidas (semanas 6-16): Despliegue de controles técnicos y organizativos: revisión de políticas, implantación de MFA, mejora de la gestión de vulnerabilidades, actualización de contratos con proveedores, elaboración o actualización de planes de continuidad.
- Formación y concienciación (continuo): Formación específica NIS2 para el consejo de administración y para el personal técnico y de negocio.
- Auditoría y mejora continua: Establecimiento de un ciclo de revisión periódica de la efectividad de las medidas y un proceso de mejora continua documentado.
Pide presupuesto en 24 horas. Sin compromiso.
Artículos relacionados:
Preguntas frecuentes sobre NIS2
¿Tu empresa está en el ámbito de NIS2?
Te hacemos el análisis de ámbito y el diagnóstico de brechas en 24 horas. Sin coste.
Solicitar presupuesto sin compromiso →