Directiva NIS2: Cómo cumplir la normativa en tu empresa

Qué es la directiva NIS2 y por qué es importante para tu empresa

Las amenazas cibernéticas han experimentado un aumento significativo en los últimos años, afectando por igual a organizaciones de todos los tamaños y sectores, tanto públicas como privadas. Estos ataques han subrayado la urgencia de reforzar la ciberseguridad, lo que se ha convertido en un desafío prioritario para la Unión Europea.

En este contexto se crea en 2016 la directiva NIS1(UE 2016/1148), estableciendo un marco normativo con medidas cuya finalidad era garantizar un alto nivel de seguridad entre las redes y sistemas de la UE. Esta directiva se ha quedado obsoleta con el tiempo, dando lugar a la Directiva NIS2 (Directiva (UE) 2022/2555).

La Directiva NIS2, pone fin a la  Directiva NIS1, ampliando el ámbito de aplicación y dotando de una mayor cobertura a sectores y servicios de mayor relevancia social y económica.

Además, refuerza los requisitos de seguridad que deberán cumplir las entidades a las que aplica y se centra en: controles de ciberseguridad, gestión de riesgos, gobernanza y cooperación.

 

Cuándo entró en vigor la directiva NIS2 y cuándo empezará a ser efectiva en España

La Directiva NIS 2 fue aprobada formalmente en noviembre de 2022, publicándose en el Diario Oficial de la UE (DOUE) el 27 de diciembre de 2022, y entró en vigor el 16 de enero de 2023, 20 días después de su publicación en el DOUE.

España, como el resto de Estados miembros, debía adoptar y publicar las medidas necesarias para dar cumplimiento a lo establecido antes del 17 de octubre de 2024.  Esta transposición no se hará realidad hasta la entrada en vigor de la Ley de Coordinación y Gobernanza de la Ciberseguridad, cuyo anteproyecto fue aprobado ayer, 14 de enero de 2025. Por lo que es muy probable que a lo largo del primer semestre de este 2025 la Ley se ponga en marcha y con ella las obligaciones ligadas a la directiva NIS2.

¿Qué empresas están obligadas a aplicar la directiva NIS2?

La UE considera que deben cumplir con la directiva NIS2 las empresas y organizaciones clasificadas como medianas y grandes, ya sean públicas o privadas, de los sectores de alta criticidad y otros sectores críticos que mencionaremos a continuación.

• Mediana empresa: empresa que ocupa entre 50 y 250 personas y cuyo volumen de negocios anual no excede de 50 millones de euros o cuyo balance general anual no excede de 43 millones de euros.
• Gran empresa: empresa que ocupa más de 250 personas y cuyo volumen de negocios anual o cuyo balance general anual sea superior a 43 millones de euros.

A) Alta criticidad

Sectores considerados de alta criticidad para el normal funcionamiento de la vida social y económica del país, como la energía, el transporte, banca y mercados financieros, sector sanitario, agua, infraestructuras digitales y servicios tecnológicos, espacio, entidades de la administración pública ( a excepción del poder judicial, parlamentos  bancos centrales).

B) Menor criticidad

Otros sectores de menor criticidad recogidos en el anteproyecto son los servicios postales y de mensajería; la gestión de residuos; la fabricación, producción y distribución de sustancias y mezclas químicas; la producción, transformación y distribución de alimentos; los proveedores de servicios digitales; la investigación científica, y la seguridad privada

Para la directiva NIS2. ¿Cuáles son las entidades importantes y esenciales?

La Directiva identifica dos tipos de entidades: las «Entidades Esenciales» y las «Entidades Importantes».

La entidades clasificadas como esenciales, son:

• Aquellas que pertenecen a los sectores de alta criticidad. Mencionadas en el anexo I que superen los límites máximos para medianas empresas previstos en el apartado 1 del artículo 2 del anexo de la Recomendación 2003/361/CE;
• Los proveedores de plataformas de servicios de redes sociales, considerando ahora a los proveedores de servicios de computación en la nube dentro del sector de infraestructuras digitales del anexo I de «Sectores de alta criticidad».

Son aquellas que pertenezcan a los sectores de alta criticidad, así como los prestadores cualificados de servicios de confianza y registros de nombres de dominio de primer nivel y proveedores de servicios de DNS, independientemente de su tamaño. También serán entidades de este tipo los proveedores de redes públicas de comunicaciones electrónicas o de servicios de comunicación electrónicos disponibles para el público que sean consideradas medianas empresas, entidades de la Administración pública, cualquier otra entidad perteneciente a otros sectores críticos que el Estado miembro identifique como entidad esencial.

Las entidades importantes. Son todas aquellas entidades que pertenezcan a los sectores de alta criticidad o a otros sectores críticos que no pueden considerarse entidades esenciales.

Medidas y obligaciones que tendrán que realizar las entidades afectadas por el NIS2

1. NIS2. Medidas para la gestión de riesgos en ciberseguridad

La Directiva señala en el artículo 21, la obligación de las entidades de implementar un enfoque estratégico para la gestión de riesgos de ciberseguridad. Las medidas a adoptar incluyen:

• Crear políticas de seguridad de los sistemas de información y análisis de riesgos.
• Implementar un proceso completo de gestión de incidentes.
• Ofrecer continuidad a las actividades, tales como la gestión de copias de seguridad y la recuperación en caso de catástrofe, y la gestión de crisis.
• Fortalecer la seguridad de la cadena de suministro, incluidos los aspectos de seguridad relativos a las relaciones entre cada entidad y sus proveedores o prestadores de servicios directos.
• Gestionar la seguridad en la adquisición, el desarrollo y el mantenimiento de sistemas de redes y de información, incluida la gestión y divulgación de las vulnerabilidades.
• Crear políticas y procedimientos para evaluar la eficacia de las medidas para la gestión de riesgos de ciberseguridad.
• Mantener las prácticas básicas de ciberhigiene, mejorar las brechas de seguridad y formación en ciberseguridad.
• Utilizar la criptografía y el cifrado como medidas de protección.
• Implementar la seguridad de los recursos humanos, las políticas de control de acceso y la gestión de activos.
• Adoptar el uso de soluciones de autenticación multifactorial o de autenticación continua, comunicaciones de voz, vídeo y texto seguras y sistemas seguros de comunicaciones de emergencia en la entidad, cuando proceda.

2. NIS2 Obligaciones. ¿Qué tienen que hacer las empresas?

• Realizar evaluaciones individuales de su riesgo y poner en marcha una serie de actuaciones para garantizar y elevar los niveles de seguridad de sus redes y sistemas de información y prevenir el riesgo de incidentes. Inspecciones in situ y supervisión externa, auditorías de seguridad periódicas y específicas, auditorias ad hoc, análisis de seguridad, solicitudes de información que incluyan políticas de ciberseguridad documentadas, solicitud de pruebas de la aplicación de ciberseguridad.
• Notificar los incidentes significativos que se produzcan en la empresa o en la prestación de sus servicios, tanto si son redes y servicios propios como si pertenecen a proveedores externos, así como a comunicar a la mayor brevedad a los destinatarios de sus servicios, ya sean personas físicas o jurídicas, cualquier ciberamenaza significativa que les pueda afectar, así como las medidas o soluciones que pueden aplicar como respuesta.
• Diseñar la figura del responsable de seguridad de la información como persona u órgano encargado de las funciones de contacto y coordinación técnica. Si la empresa es de gran tamaño deberá obtener la condición de personal acreditado.
• El responsable de seguridad informatica se encargará de elaborar y someter a la aprobación de la organización la estrategia y políticas de ciberseguridad; supervisar y desarrollar la aplicación de dichas políticas y su efectividad; supervisar el cumplimiento de la normativa aplicable en materia de seguridad de las redes y sistemas de información, y gestionar los incidentes de ciberseguridad.

3. NIS2.Procedimiento de notificación ante un incidente significativo

En el caso de ocurrir, la entidad deberá notificarlo sin demora a su CSIRT de referencia (equipo de respuesta a incidentes de seguridad informáticos o microseguridad para empresas) o, en su caso, a su autoridad competente (si hubiera otras normas sectoriales aplicables). El procedimiento general será:

• Primera notificación al CSIRT que ha de producirse mediante una alerta temprana en las primeras 24 h desde el conocimiento de este.
• Antes de 72 h se ha de enviar una notificación del incidente actualizando la alerta y con una evaluación inicial en la que se indique su gravedad e el impacto, así como los IoC (indicadores de compromiso) cuando estén disponibles. Este plazo será de 24 h para prestadores de servicios de confianza.
• Las autoridades o CSIRT podrán solicitar un informe intermedio que contenga las actualizaciones pertinentes sobre la situación.
• Informe final, a más tardar un mes después de presentar la notificación del incidente, que deberá recoger los siguientes elementos:
  • Descripción detallada del incidente, incluyendo su gravedad e impacto.
  • El tipo de amenaza o causa principal que probablemente haya desencadenado el incidente.
  • Medidas paliativas aplicadas y en curso.
  • Cuando proceda, las repercusiones transfronterizas del incidente.
• Si el incidente siguiera en curso en el momento de la presentación del informe final, los Estados miembros velarán por que las entidades afectadas presenten un informe de situación en ese momento y un informe final en el plazo de un mes a partir de que hayan gestionado el incidente.

Sanciones y multas de la directiva NIS2 en caso de incumplimiento

Se podrán imponer las siguientes sanciones:

• Un máximo de, al menos, 10.000.000 € o hasta el 2% del volumen de negocios total anual a escala mundial de la empresa a la que pertenezca la entidad esencial en el ejercicio precedente, optándose por la de mayor cuantía.
• Un máximo de, al menos, 7.000.000 euros o el 1,4% del volumen de negocios total anual a nivel mundial de la empresa a la que pertenece la entidad importante en el ejercicio precedente, optándose por la de mayor cuantía.

Cómo preparar mi empresa para la cumplir con la directiva NIS2

Prepararse para la directiva NIS2 es más que un mandato puramente normativo. Es un paso más para que las organizaciones avancen de manera proactiva en la estrategia y la eficiencia de la seguridad de las redes y los sistemas de información.

1. Comprueba que tu empresa está implicada según su tamaño y pertenencia a alguno de los dos sectores: alta criticidad y otros sectores críticos.
2. Entender los requisitos de la directiva NIS2.
3. Apóyate en una empresa IT especializada en seguridad para ayudarte en todo el proceso. En Artero Sistemas llevamos más de 20 años ofreciendo a las empresas
4. Establecer un equipo de cumplimiento multifuncional, formado por las partes interesadas de la organización.
5. Realizar un análisis de las vulnerabilidades de tu empresa.
6. Desarrollar una estrategia integral de seguridad y un marco de gobernanza.
7. Implementar las medidas de gestión de la seguridad de la información.
8. Mejorar las medidas de seguridad de la cadena de suministro.
9. Probar, revisar y mejorar de forma regular los sistemas.

Más allá del cumplimiento de la normativa, las empresas deben concienciarse y adoptar una cultura orientada a mejorar la ciberseguridad, consiguiendo proteger la información que manejan cada día ya que las empresas están expuestas a sufrir ciberataques y hay que protegerlas. Es por esto que desde Artero Sistemas ofrecemos a todo tipo de empresas servicios enfocados a la protección de sus sistemas y redes.

Te ayudamos a cumplir con la directiva NIS2

En Artero Sistemas contamos con un equipo especializado en ciberseguridad que te ayudará a cumplir con todo el proceso de adaptación de la directiva NIS2.

Si te gustaría recibir más información o conocer el nivel de seguridad al que está expuesto tu empresa solicita asesoramiento con nuestros expertos sin compromiso.