NIS2: Todos los detalles y antecedentes sobre la nueva Directiva de Ciberseguridad de la UE

Existe una nueva Directiva de la UE que aborda la armonización de los estándares de ciberseguridad en toda la Unión Europea y contiene disposiciones de gran alcance para las empresas. Queda poco tiempo hasta que esta normativa entre en vigor en todos los Estados miembros el próximo año.

Hasta el 17 de octubre de 2024, los Estados miembros de la Unión Europea deben transponer la nueva Directiva de la UE NIS2 – sobre la regulación de la seguridad de las redes y de la información – al derecho nacional vigente. Las empresas disponen, por tanto, de poco más de un año para adaptarse a los cambios y alinear sus procesos y sistemas con las nuevas exigencias. El objetivo de la nueva Directiva es «profundizar y ampliar sustancialmente los requisitos en materia de ciberseguridad, con el fin de mejorar la protección mediante el refuerzo, la modernización y la ampliación de las disposiciones centrales».

Un número mucho mayor de empresas afectadas

En términos claros, la UE tiene como finalidad seguir unificando los estándares europeos de ciberseguridad, ampliarlos a más sectores y empresas y fortalecer globalmente la resistencia frente a las amenazas del ciberespacio. Por ello, NIS2 incluye ahora también a las empresas con al menos 50 empleados y un volumen de facturación anual de 10 millones de euros. Además, la nueva Directiva establece disposiciones claras respecto a los sectores «esenciales» y «importantes», para los cuales rigen reglas especiales.

En la versión anterior, NIS, de 2016, cada Estado miembro podía definir libremente dichos sectores. En NIS2, la UE ha fijado de forma inequívoca qué ramas económicas corresponden a cada categoría. Entre los «sectores esenciales» se incluyen los ámbitos de la energía, la salud, el transporte, la banca y los seguros, el agua y el saneamiento, los proveedores de redes y los prestadores de servicios TIC, la industria aeroespacial y la administración pública. Los «sectores importantes» comprenden los servicios postales y de mensajería, la gestión de residuos, la industria química, la alimentación, la industria manufacturera, los servicios digitales y la investigación.

Exigencias de gran alcance en materia de ciberseguridad

NIS2 contiene exigencias rigurosas para la protección de la infraestructura digital de la UE y va incluso más allá de la Ley alemana de Seguridad de la Tecnología de la Información 2.0. El elemento central de la Directiva es la obligación de integrar una estrategia de seguridad de la información en la gobernanza empresarial global. Esto incluye reglas precisas sobre gestión de riesgos, así como sobre sensibilización y formación del personal, obligaciones de notificación de incidentes y disposiciones relativas a planes de emergencia para situaciones críticas.

Además, NIS2 contempla exigencias en materia de protección y seguridad de los datos, gestión del acceso a los datos, gestión de vulnerabilidades y cifrado, todas ellas agrupadas bajo el concepto de «higiene cibernética». Para su aplicación, las empresas deben revisar todos sus procesos y medidas previos, armonizar sus propios requisitos con las disposiciones de la Directiva y tener presentes, al mismo tiempo, la rápida evolución del entorno tecnológico, con sus nuevas tecnologías y los desafíos planteados por los ciberdelincuentes.

El tiempo corre: hasta el 17 de octubre de 2024, los Estados miembros de la UE deben transponer NIS2 al derecho nacional. Hasta esa fecha, las empresas tienen tiempo para adaptarse a las exigencias y ajustar sus sistemas y procesos.
¡Atención: en caso de incumplimiento, se impondrán multas muy elevadas de hasta 10 millones de euros!

En resumen

La Directiva de la UE NIS2 amplía los requisitos de ciberseguridad a un número claramente mayor de sectores y empresas con al menos 50 empleados.
Las empresas deben integrar la seguridad de la información como un elemento estratégico en su gobernanza empresarial.
En caso de incumplimiento, se prevén multas de hasta 10 millones de euros – el plazo de aplicación expiró en octubre de 2024.

Key Facts

Ámbito de aplicación: Empresas con al menos 50 empleados y un volumen de facturación anual de 10 millones de euros.

Plazo de transposición: 17 de octubre de 2024 para la incorporación al derecho nacional en todos los Estados miembros de la UE.

Multas: Hasta 10 millones de euros en caso de incumplimiento.

Sectores esenciales: Energía, salud, transporte, banca, agua, prestadores de servicios TIC, industria aeroespacial y administración pública.

Dato: Según la Oficina Federal de Investigación Criminal (BKA), los daños causados a las empresas alemanas por la ciberdelincuencia ascendieron en 2024 a más de 206 000 millones de euros.

Dato: Según Mandiant, la duración media de la permanencia de un atacante en una red es de 10 días.

Preguntas frecuentes

¿Qué es NIS2 y a quién afecta la Directiva?

NIS2 es la Directiva revisada de la UE sobre la regulación de la seguridad de las redes y de la información. Afecta a las empresas con al menos 50 empleados y un volumen de facturación de 10 millones de euros en los sectores esenciales e importantes definidos – un número claramente mayor de empresas que la versión anterior, NIS, de 2016.

¿Cuáles son los requisitos fundamentales de NIS2?

NIS2 exige la integración de una estrategia de seguridad de la información en la gobernanza empresarial, procesos de gestión de riesgos, obligaciones de notificación de incidentes, planes de emergencia, formación del personal, así como medidas en materia de protección de datos, cifrado y gestión de vulnerabilidades.

¿Qué sanciones se prevén en caso de incumplimiento?

En caso de incumplimiento de las disposiciones de NIS2, se prevén multas de hasta 10 millones de euros. Su cuantía depende de la gravedad de la infracción y del tamaño de la empresa.

¿Qué diferencia a NIS2 de la Directiva original NIS?

NIS2 define, por primera vez, de forma uniforme en toda la UE los sectores afectados, amplía su ámbito de aplicación a más ramas económicas y a empresas más pequeñas, y endurece los requisitos en materia de gestión de riesgos y notificación de incidentes.

¿Cómo deben prepararse las empresas para NIS2?

Las empresas deben comparar sus procesos y medidas existentes con las disposiciones de NIS2, integrar una estrategia de seguridad de la información en la dirección general y formar a su personal. Se recomienda realizar, como primer paso, una evaluación de brechas (Gap-Assessment).