NIS2: todo sobre la directiva de ciberseguridad de la UE
Equipo editorial de IONOS8 mins
La Directiva NIS2 es una normativa de la UE que refuerza la resiliencia cibernética de los Estados miembros y de las empresas mediante reglas más estrictas. Entre sus contenidos más importantes se incluyen la implementación de medidas de seguridad para mejorar la protección de TI, auditorías de seguridad y procedimientos rápidos de notificación en caso de incidentes cibernéticos.
¿Qué es la Directiva NIS2?
La Directiva NIS2 de la Unión Europea tiene como objetivo mejorar la resistencia frente a amenazas cibernéticas en infraestructuras esenciales e importantes de los Estados miembros. Las siglas NIS2 significan “Network and Information Security 2” (Seguridad de las Redes y los Sistemas Informáticos en español). Entró en vigor el 16 de enero de 2023, reemplazando la Directiva anterior NIS1, que ya había promovido un cambio en la seguridad de TI.
Para garantizar la máxima protección tanto en el sector privado como en el público de los Estados miembros de la UE, la nueva Directiva NIS2 introduce reglas más exhaustivas y estrictas para un grupo más amplio de organizaciones. Este marco más riguroso busca fortalecer la resiliencia cibernética y mejorar la respuesta ante amenazas y vulnerabilidades cibernéticas. Además, la NIS2 asegura que las instalaciones críticas para el suministro de bienes o servicios esenciales a la población estén protegidas contra fallos e interrupciones, incluso en situaciones de crisis.
El objetivo principal de la NIS2 es preparar mejor a las empresas para prevenir ciberataques y responder de manera rápida y eficiente ante problemas de TI. A través de una estrategia de seguridad más coherente entre los Estados miembros, se busca crear el más alto nivel posible de ciberseguridad tanto a nivel nacional como internacional dentro del espacio de la UE. Todos los Estados miembros deben incluir la Directiva NIS2 en su legislación nacional, lo que en España afecta sobre todo a las empresas medianas y grandes (no a las más pequeñas) que caen dentro de las nuevas normativas.
¿Qué cambia con la Directiva NIS2?
La obligación de implementar la Ley de Ciberseguridad de la Directiva NIS2 trae consigo profundas innovaciones en 18 sectores diferentes. Se duplica el número de sectores clasificados como esenciales, y se endurece el régimen de sanciones por incumplimiento. Además, los directores ejecutivos son responsables directamente. En España se verán afectadas las empresas medianas que tengan entre 50 y 250 empleados y unos ingresos anuales entre 10 y 50 millones y las grandes empresas con más de 250 empleados y 50 millones de euros de ingresos anuales. En general, en España hay aproximadamente 25 000 empresas con más de 50 empleados y la mayoría se verán afectadas por la NIS2.
Resumen de los cambios introducidos por la Directiva NIS2:
- Ampliación de los sectores esenciales: la Directiva NIS2 clasifica más sectores como esenciales.
- Sanciones más estrictas: la NIS2 aumenta significativamente las multas por infracciones.
- Responsabilidad de los directivos: los directivos son directamente responsables de cumplir con las normativas de ciberseguridad.
- Ámbitos de aplicación más amplios: la Directiva NIS2 se aplica a empresas con más de 50 empleados o con ingresos superiores a 10 millones de euros, así como a ciertas empresas, independientemente de su tamaño.
- Obligación de análisis de riesgos exhaustivos: las empresas deben realizar análisis de riesgos minuciosos.
- Gestión de riesgos y seguridad obligatorios: existen requisitos estrictos para la gestión de riesgos y medidas de seguridad. Son obligatorias algunas medidas como las pruebas de penetración, los cortafuegos de hardware y las estrategias de copias de seguridad.
- Gestión de crisis obligatoria: ante incidentes de seguridad, son necesarias estrategias rápidas y efectivas de gestión de crisis, comunicación y sistemas de notificación.
- Uso de protocolos de seguridad existentes: las empresas pueden utilizar estándares de seguridad ya establecidos como referencia.
- Protección contra el secuestro de datos
- Escaneos antivirus periódicos
- Copias de seguridad automáticas y restauraciones
¿Quiénes están afectados por la Directiva NIS2?
La Directiva NIS2 clasifica a las empresas en dos categorías: esenciales e importantes (esta última es nueva). Se ven afectadas las empresas con más de 50 empleados o con un volumen de negocios anual de al menos 10 millones de euros. Además, algunas empresas también pueden estar sujetas a la Directiva NIS2 independientemente de su tamaño, si su interrupción supone un riesgo sistémico. La categoría “esencial” incluye empresas de once sectores, principalmente las que son fundamentales para el funcionamiento del Estado. La categoría “importante” cubre siete sectores adicionales.
Sectores y empresas esenciales
- Energía
- Abastecimiento de agua
- Transporte
- Banca
- Infraestructuras de mercados financieros
- Sanidad
- Espacio
- Gestión de aguas residuales
- Administración pública
- Infraestructura digital
- Gestión de servicios TIC (B2B)
Sectores y empresas importantes
- Servicios postales y de mensajería
- Residuos
- Industria química
- Suministro de alimentos
- Proveedores de servicios digitales
- Industria manufacturera
- Investigación (opcional)
¿Qué obligaciones tienen las empresas?
La Directiva NIS2 impone obligaciones estrictas y cambios significativos a las empresas. Ten en cuenta que la trasposición de esta directiva todavía está en proceso en España, por lo que la información contenida en la siguiente tabla puede sufrir modificaciones:
| Obligaciones | Medidas |
|---|---|
| Gestión de riesgos y continuidad | Cifrado, autenticación multifactor, ciberhigiene y seguridad en la cadena de suministro, alineado con el Esquema Nacional de Seguridad (ENS). Los requisitos mínimos varían según el tamaño de la empresa. |
| Notificación de incidentes | Los incidentes de seguridad significativos deben notificarse al CSIRT (Equipo de Respuesta a Incidentes de Ciberseguridad) en un plazo de 24 horas. La primera evaluación debe realizarse en 72 horas, y el informe final en un mes. |
| Registro de proveedores esenciales | Las empresas y operadores de servicios esenciales deben registrarse en el marco del ENS. |
| Responsabilidad de los directivos | Los directivos responsables de aprobar y supervisar las medidas de ciberseguridad y también se harán responsables en el caso de una negligencia grave. |
| Supervisión y sanciones | El Centro Criptológico Nacional (CCN-CERT) supervisará el cumplimiento, con multas significativas por incumplimiento. |
¿Cómo facilitar la implementación de NIS2?
Para cumplir a tiempo con las obligaciones derivadas de la Directiva NIS2, las empresas deben tomar las siguientes medidas:
- Análisis del estado actual y objetivo: verifica si estás afectado por las obligaciones de la NIS2 y evalúa el estado actual y las áreas de mejora de la resiliencia cibernética en tu empresa.
- Implementación: deben introducirse análisis de riesgos y conceptos de seguridad para todos los sistemas de información.
- Evaluación: es necesario revisar regularmente la eficacia de los métodos de gestión de riesgos.
- Elaboración: es obligatorio desarrollar un plan para gestionar incidentes de seguridad.
- Gestión de crisis y copias de seguridad: deben implementarse medidas de respaldo de datos y gestión de crisis.
- Sistema de notificación: es esencial establecer un sistema efectivo de notificación de incidentes de seguridad.
- Capacitación: los empleados deben recibir formación regularmente.
- Seguridad en la cadena de suministro: debe garantizarse la seguridad en la cadena de suministro.
¿Qué pasa si no se implementa la NIS2?
Las empresas que no implementen las medidas prescritas se enfrentan a multas significativas. Las autoridades de supervisión, de acuerdo con la Directiva NIS2, tendrán amplios poderes de supervisión, control y mandato, incluyendo la imposición de plazos. Además, los directores ejecutivos asumirán una mayor responsabilidad en cuanto a las medidas de protección y seguridad, y pueden ser personalmente responsables en caso de infracciones o negligencia.
¿Cuándo entra en vigor la Directiva NIS2?
El 14 de diciembre de 2022, el Parlamento Europeo y el Consejo aprobaron la Directiva (UE) 2022/2555, conocida como Directiva NIS2. Esta reemplazó a la anterior Directiva NIS, y entró en vigor oficialmente en enero de 2023. Todos los Estados miembros de la UE debían transponerla en sus legislaciones nacionales antes del 17 de octubre de 2024 y, en teoría, las medidas ya son aplicables a partir del 18 de octubre de este mismo año. Sin embargo, algunos Estados miembro, como España, todavía no la han traspuesto. La fecha límite para hacerlo es el 17 de enero de 2025. La Directiva NIS2 introduce cambios significativos en el reglamento eIDAS (UE) nº 910/2014 y la Directiva EECC (UE) 2018/1972.
En España, se estima que alrededor de 25 000 empresas estarán sujetas a la obligación de cumplir con la Directiva NIS2, lo que representa un aumento significativo respecto a la normativa anterior, NIS1. Actualmente, el proceso de transposición de la directiva está en curso, con un borrador de ley pendiente de aprobación. La institución clave encargada de su implementación es el Centro Criptológico Nacional (CCN-CERT), que supervisará las medidas de ciberseguridad y garantizará el cumplimiento de los requisitos establecidos en la nueva normativa.
