NIS2 explicado: Todo lo que las organizaciones españolas deben saber
Contenido del artículo
NIS2, conocida en España como Directiva SRI 2 (Seguridad de las Redes e Información), es la actualización de la directiva europea de ciberseguridad. Amplía significativamente el alcance de los requisitos obligatorios de seguridad, introduce responsabilidad personal para los miembros del consejo directivo y permite multas de hasta 10 millones de euros o el 2% del volumen de negocio anual global por incumplimiento.
¿Qué es NIS2?
NIS2 es la Directiva revisada de Seguridad de las Redes y Sistemas de Información de la Unión Europea, adoptada en diciembre de 2022 y transpuesta al derecho nacional de los estados miembros. En España, se transpone mediante la Ley de Seguridad de las Redes e Información (Ley SRI 2), que sustituye a la anterior Ley SRI (2016).
La directiva amplía enormemente el número de organizaciones obligadas a cumplir estándares de ciberseguridad. Decenas de miles de organizaciones adicionales en toda Europa quedan ahora bajo su alcance, incluidas empresas de tamaño medio en sectores que anteriormente no estaban cubiertos.
En España, el INCIBE (Instituto Nacional de Ciberseguridad) y el CCN-CERT (Centro Criptológico Nacional) son las autoridades de referencia para la implementación y supervisión de NIS2 en sus respectivos ámbitos.
¿Qué sectores y organizaciones están bajo NIS2?
NIS2 distingue entre "entidades esenciales" (sujetas a supervisión más estricta) y "entidades importantes" (supervisión menos intensa). Los sectores cubiertos:
| Entidades esenciales (Anexo I) | Entidades importantes (Anexo II) |
|---|---|
| Energía (electricidad, gas, petróleo, hidrógeno) | Servicios postales y de mensajería |
| Transporte (aéreo, ferroviario, por carretera, marítimo) | Gestión de residuos |
| Banca e infraestructuras del mercado financiero | Fabricación de productos químicos |
| Sanidad (hospitales, farmacia, dispositivos médicos) | Producción y distribución alimentaria |
| Agua potable y aguas residuales | Fabricación (médica, electrónica, maquinaria, vehículos) |
| Infraestructura digital (DNS, cloud, CDN, centros de datos) | Proveedores digitales (marketplaces, motores de búsqueda, redes sociales) |
| Administración pública | Organizaciones de investigación |
El umbral de tamaño es generalmente: organizaciones con 50 o más empleados O un volumen de negocio anual superior a 10 millones de euros. Las organizaciones más pequeñas en sectores críticos también pueden estar incluidas.
Obligaciones clave bajo NIS2
NIS2 exige a las organizaciones afectadas implementar una serie de medidas de ciberseguridad, entre ellas:
- Gestión de riesgos: realizar y documentar evaluaciones de riesgos de ciberseguridad e implementar medidas técnicas y organizativas adecuadas.
- Notificación de incidentes: notificar incidentes significativos a la autoridad competente nacional en un plazo de 24 horas (aviso temprano), 72 horas (notificación inicial) y 30 días (informe final).
- Seguridad de la cadena de suministro: evaluar y gestionar los riesgos de ciberseguridad procedentes de proveedores y prestadores de servicios TIC.
- Continuidad del negocio: disponer de planes y procedimientos para la gestión de copias de seguridad, recuperación ante desastres y gestión de crisis.
- Cifrado y control de acceso: usar cifrado cuando proceda e implementar una gestión de accesos robusta, incluida la autenticación multifactor.
- Pruebas de seguridad: verificar periódicamente la eficacia de las medidas de seguridad, incluyendo pruebas de penetración.
- Formación en concienciación: formar a empleados y directivos sobre los riesgos de ciberseguridad.
Responsabilidad del consejo directivo bajo NIS2
Uno de los cambios más significativos de NIS2 es la responsabilidad personal explícita de la alta dirección. Los miembros del consejo y directivos pueden ser considerados personalmente responsables de los fallos de ciberseguridad. Concretamente, NIS2 permite a las autoridades nacionales:
- Publicar el nombre de los responsables directivos por incumplimiento
- Prohibir temporalmente a personas el ejercicio de funciones directivas tras incidentes graves
- Exigir responsabilidad a la dirección por daños causados por fallos de seguridad
Esto significa que la ciberseguridad ya no es solo un tema de IT; es una responsabilidad de nivel de consejo directivo. Los directivos están obligados a aprobar las medidas de gestión de riesgos de ciberseguridad y supervisar su implementación.
Multas y sanciones por incumplimiento de NIS2
El incumplimiento de NIS2 puede conllevar sanciones administrativas significativas:
- Entidades esenciales: hasta 10 millones de euros o el 2% del volumen de negocio anual global total (la cifra que sea mayor)
- Entidades importantes: hasta 7 millones de euros o el 1,4% del volumen de negocio anual global total (la cifra que sea mayor)
Más allá de las multas, las autoridades supervisoras pueden emitir instrucciones vinculantes, ordenar medidas correctoras y exigir a las organizaciones que informen a sus clientes sobre incidentes de seguridad.
Comparativa: NIS2 vs ISO 27001 vs DORA
| NIS2 | ISO 27001 | DORA | |
|---|---|---|---|
| Tipo | Ley UE (obligatoria) | Norma internacional (voluntaria) | Ley UE (obligatoria) |
| Alcance | Multisectorial, toda la UE | Cualquier organización del mundo | Solo sector financiero, UE |
| Enfoque | Gestión de riesgos de ciberseguridad | Gestión de seguridad de la información | Resiliencia operativa digital |
| Multas | Hasta €10M o 2% | Ninguna (organismo certificador) | Específicas del sector |
Pasos para prepararse ante NIS2 en España
- Determina si estás en el ámbito de aplicación. Comprueba tu sector y tamaño con los umbrales de NIS2 y la Ley SRI 2.
- Realiza un análisis de brechas. Compara tus medidas de seguridad actuales con los requisitos de NIS2 para identificar qué debe cambiar.
- Involucra al consejo directivo. Presenta los riesgos y obligaciones de NIS2 a nivel de consejo. Documenta la aprobación de los planes de gestión de riesgos.
- Implementa y documenta medidas. Aborda las carencias en gestión de riesgos, respuesta a incidentes, seguridad de la cadena de suministro y concienciación.
- Regístrate ante las autoridades competentes. En España, muchas organizaciones deben registrarse ante el CCN-CERT o el INCIBE según su sector.
- Valida tus medidas con pruebas. Realiza pentests y ejercicios de mesa para verificar que tus controles realmente funcionan.
Preguntas frecuentes sobre NIS2
¿Se aplica NIS2 a mi organización fuera de la UE?
Si tu organización presta servicios a entidades en estados miembros de la UE y se encuadra en un sector cubierto, NIS2 puede aplicarte aunque tu sede esté fuera de la UE. Consulta con asesoría jurídica si tienes dudas sobre tu jurisdicción.
¿Qué se considera un "incidente significativo" bajo NIS2?
Un incidente es significativo si causa o puede causar graves perturbaciones operativas, pérdidas financieras, daños físicos o perjuicios reputacionales. Ejemplos: ataques de ransomware, brechas de datos que afectan a muchas personas y cortes de servicio prolongados.
¿La certificación ISO 27001 es suficiente para NIS2?
No. La certificación ISO 27001 demuestra buenas prácticas de gestión de seguridad y facilita el cumplimiento de NIS2, pero no cumple automáticamente todas las obligaciones de la directiva. Los requisitos específicos sobre plazos de notificación de incidentes, responsabilidad del consejo directivo y seguridad de la cadena de suministro van más allá del alcance de ISO 27001.
¿Quién supervisa el cumplimiento de NIS2 en España?
En España, el CCN-CERT supervisa las entidades del ámbito de las Administraciones Públicas y el sector de defensa, mientras que el INCIBE-CERT se encarga del sector privado y los servicios esenciales no gubernamentales. Los reguladores sectoriales (CNMV, BdE, CNMC, etc.) pueden tener competencias adicionales en sus ámbitos.
¿Cómo afecta NIS2 a la seguridad de la cadena de suministro?
NIS2 exige explícitamente a las organizaciones evaluar y gestionar los riesgos de ciberseguridad procedentes de sus proveedores directos y prestadores de servicios. Debes asegurarte de que los proveedores TIC críticos cumplen estándares de seguridad adecuados. Muchas organizaciones están trasladando los requisitos de NIS2 a sus proveedores mediante cláusulas contractuales.
¿Qué relación tiene NIS2 con el Esquema Nacional de Seguridad (ENS)?
El ENS es el marco de referencia de seguridad para las Administraciones Públicas en España. Las organizaciones que ya cumplen con el ENS tienen una buena base para NIS2, aunque los requisitos no son idénticos. El CCN-CERT ha publicado guías de correspondencia entre ambos marcos para facilitar el cumplimiento conjunto.
¿Tu organización está preparada para NIS2?
Nuestro NIS2 Readiness Assessment identifica tus brechas, prioriza las acciones y proporciona a la dirección una hoja de ruta clara hacia el cumplimiento. Comienza con una consulta sin compromiso.