14. febrero 2024 | Imprimir artículo |

Implementación de NIS2: Guía práctica para la empresa media alemana

La directiva NIS2 amplía las obligaciones de ciberseguridad a más de 30.000 empresas alemanas. Sin embargo, mientras que las grandes corporaciones ya han creado equipos de cumplimiento, la empresa media se enfrenta a un triple reto: afectación poco clara, recursos limitados y falta de herramientas de implementación.

En resumen

  • Afectación: Más de 30.000 empresas en Alemania quedan incluidas en NIS2, diez veces más que bajo la regulación anterior de KRITIS.
  • Obligaciones: Gestión de riesgos, notificación de incidentes en 24 horas, seguridad de la cadena de suministro y formación de la dirección.
  • Responsabilidad: La dirección responde personalmente; multas de hasta 10 millones de euros o el 2 % del volumen de negocio anual.
  • Cronograma: Transposición al derecho nacional hasta octubre de 2024; muchas empresas aún no han comenzado.
  • Práctica: Un plan estructurado de seis meses hace viable el cumplimiento de NIS2 incluso con recursos limitados.

¿Quién está afectado?

NIS2 distingue entre entidades esenciales y entidades importantes en 18 sectores. Entidades esenciales: energía, transporte, banca, salud, agua potable, infraestructura digital y administración pública. Entidades importantes: correo, gestión de residuos, química, alimentación, industria manufacturera y servicios digitales.

Los umbrales: las empresas con más de 50 empleados O bien más de 10 millones de euros de facturación anual en alguno de los 18 sectores quedan afectadas. Pero atención: también las empresas más pequeñas pueden quedar incluidas en NIS2 si se consideran críticas o forman parte de la cadena de suministro de una empresa afectada.

La afectación indirecta es el punto ciego: NIS2 obliga a las empresas afectadas a gestionar la seguridad de su cadena de suministro. Esto significa que proveedores y prestadores de servicios también deben demostrar estándares de seguridad, incluso si ellos mismos no quedan directamente incluidos en NIS2.

Las diez obligaciones en resumen

NIS2 define diez medidas mínimas de ciberseguridad:

1. Análisis de riesgos y conceptos de seguridad. 2. Evaluación de la eficacia de las medidas. 3. Criptografía y cifrado. 4. Continuidad del negocio y gestión de crisis. 5. Seguridad de la cadena de suministro. 6. Seguridad en desarrollo y adquisiciones. 7. Formación y higiene cibernética. 8. Control de acceso y gestión de activos. 9. Autenticación multifactor (MFA). 10. Comunicación segura.

Además, existe la obligación de notificación: los incidentes de seguridad significativos deben notificarse a la autoridad competente en un plazo de 24 horas. En 72 horas debe presentarse un informe detallado y, en un mes, el informe final.

Plan de implementación en seis meses

Mes 1: Análisis de afectación. ¿Estamos incluidos en NIS2? ¿En qué categoría? Verifique el sector, tamaño y rol en la cadena de suministro. En caso de duda: sí.

Mes 2: Análisis de brechas. ¿Dónde estamos respecto a las diez obligaciones? Utilice como punto de partida una evaluación del BSI-Grundschutz o una auditoría previa a ISO 27001.

Mes 3-4: Acciones rápidas. Implemente MFA en todos los sistemas, elabore un plan de respuesta a incidentes, realice la formación de la dirección y valide la estrategia de copias de seguridad.

Mes 5-6: Construcción sistemática. Implemente un sistema de gestión de riesgos, formalice la seguridad de la cadena de suministro, establezca procesos de notificación y planifique pruebas periódicas.

Costes para la empresa media: entre 80.000 y 250.000 euros el primer año, dependiendo de la situación inicial. A partir del segundo año, entre 30.000 y 80.000 euros anuales recurrentes. El mayor coste individual no es la tecnología, sino la consultoría y el diseño de procesos.

Datos clave en una mirada

Empresas afectadas: Más de 30.000 en Alemania (estimación del Ministerio del Interior)

Multas para entidades esenciales: Hasta 10 millones de euros o el 2 % del volumen de negocio anual mundial

Multas para entidades importantes: Hasta 7 millones de euros o el 1,4 % del volumen de negocio

Obligación de notificación: 24 h para notificación inicial, 72 h para informe detallado, 1 mes para informe final

Fuente: Directiva UE 2022/2555, Ministerio del Interior, BSI, 2024

Preguntas frecuentes

¿Estoy afectado por NIS2?

Si su empresa tiene más de 50 empleados o 10 millones de euros de facturación y opera en alguno de los 18 sectores de NIS2: muy probablemente sí. También como proveedor de una empresa afectada, puede quedar indirectamente incluido.

¿Qué ocurre si ignoro NIS2?

Multas de hasta 10 millones de euros, responsabilidad personal de la dirección y posible prohibición de actividad empresarial por parte de la autoridad supervisora.

¿Es suficiente ISO 27001 para cumplir con NIS2?

ISO 27001 cubre gran parte de los requisitos de NIS2, pero no todos. En particular, las obligaciones de notificación, los requisitos sobre la cadena de suministro y la formación de la dirección van más allá de ISO 27001.

¿Necesito un responsable de seguridad de la información?

NIS2 no exige explícitamente un responsable de seguridad, pero los requisitos de gestión de riesgos y gobernanza hacen necesaria, de hecho, una responsabilidad específica y dedicada.

¿Puedo externalizar el cumplimiento de NIS2?

Parcialmente. Los proveedores de servicios gestionados de seguridad (MSSP) pueden asumir medidas técnicas. Sin embargo, la responsabilidad organizativa – especialmente en gestión de riesgos y obligaciones de la dirección – permanece en la empresa.

Lecturas recomendadas en la red

NIS2 y práctica de ciberseguridad: www.securitytoday.de

Cumplimiento informático para la empresa media: www.mybusinessfuture.com

Regulación y responsabilidad del C-Level: www.digital-chiefs.de

Fuente de imagen: Pexels / Sora Shimazaki

Imprimir artículo
Tobias Massow

Sobre el autor: Tobias Massow

Más artículos de

También disponible en

FrançaisEnglish

Leer el artículo

Una revista de Evernine Media GmbH