Capítulos 08 Vigente desde: 18 de octubre de 2024

Directiva NIS2

Directiva sobre la Seguridad de las Redes y Sistemas de Información

Resumen

NIS2 reemplaza y amplía significativamente la Directiva NIS original, estableciendo un alto nivel común de ciberseguridad en toda la UE. Se aplica a un rango mucho más amplio de sectores y entidades, introduce medidas de supervisión más estrictas y armoniza las sanciones entre los Estados Miembros.[1]

Como directiva, NIS2 requirió transposición a la legislación nacional antes del 17 de octubre de 2024. La implementación varía según el Estado Miembro.

Ámbito: Entidades Esenciales vs Entidades Importantes

Entidades Esenciales (Mayor Supervisión)[2]

SectorEjemplos
EnergíaElectricidad, petróleo, gas, hidrógeno, calefacción urbana
TransporteAéreo, ferroviario, marítimo, por carretera
BancaInstituciones de crédito
Mercados financierosPlataformas de negociación, contrapartes centrales
SaludProveedores de atención sanitaria, laboratorios, farmacéuticas, dispositivos médicos
Agua potableProveedores de agua
Aguas residualesTratamiento de aguas residuales
Infraestructura digitalIXPs, DNS, registros TLD, nube, centros de datos, CDN, TSP
Gestión de servicios TICProveedores de servicios gestionados, proveedores de servicios de seguridad gestionados
Administración públicaEntidades del gobierno central
EspacioOperadores de infraestructura terrestre

Entidades Importantes (Supervisión Más Ligera)

SectorEjemplos
Servicios postalesServicios postales y de mensajería
Gestión de residuosRecolección y tratamiento de residuos
QuímicosFabricación y distribución
AlimentaciónProducción y distribución
ManufacturaDispositivos médicos, electrónica, maquinaria, vehículos
Proveedores digitalesMercados en línea, motores de búsqueda, redes sociales
InvestigaciónOrganizaciones de investigación

Umbrales de Tamaño

NIS2 se aplica generalmente a entidades medianas y grandes:

  • Medianas: 50+ empleados O €10M+ de facturación/balance
  • Grandes: 250+ empleados O €50M+ de facturación O €43M+ de balance

Algunas entidades se aplican independientemente del tamaño (DNS, registros TLD, proveedores de nube, centros de datos, etc.).

Requisitos Clave

Medidas de Gestión de Riesgos (Artículo 21)[3]

Las entidades deben implementar medidas técnicas, operativas y organizativas apropiadas:

  1. Políticas: Análisis de riesgos y políticas de seguridad de sistemas de información
  2. Gestión de incidentes: Procedimientos de detección, respuesta y recuperación
  3. Continuidad del negocio: Copias de seguridad, recuperación ante desastres, gestión de crisis
  4. Seguridad de la cadena de suministro: Requisitos de seguridad para proveedores
  5. Seguridad de la red: Seguridad en adquisición, desarrollo y mantenimiento
  6. Evaluación de efectividad: Políticas para evaluar la efectividad de las medidas de seguridad
  7. Higiene cibernética básica: Programas de formación y concienciación
  8. Criptografía: Políticas sobre controles criptográficos y cifrado
  9. Recursos humanos: Seguridad del personal y controles de acceso
  10. Autenticación multifactor: MFA y sistemas de comunicación seguros

Notificación de Incidentes (Artículo 23)[4]

PlazoRequisito
24 horasAlerta temprana al CSIRT/autoridad competente
72 horasNotificación del incidente con evaluación inicial
1 mesInforme final con causa raíz y mitigación

Los incidentes significativos deben notificarse si causan o pueden causar una grave interrupción operativa o pérdida financiera, o afectan a otras personas físicas o jurídicas.

Responsabilidad de la Dirección

Los órganos de dirección deben:

  • Aprobar las medidas de gestión de riesgos de ciberseguridad
  • Supervisar la implementación de las medidas de seguridad
  • Ser personalmente responsables por el incumplimiento
  • Recibir formación en ciberseguridad

Sanciones

  • Entidades esenciales: Hasta €10 millones o el 2% de la facturación global
  • Entidades importantes: Hasta €7 millones o el 1,4% de la facturación global[5]

Los Estados Miembros pueden imponer sanciones adicionales, incluyendo prohibiciones temporales para la dirección.

Obligaciones para Desarrolladores y Proveedores de Servicios TIC

Si usted proporciona servicios o productos TIC:

  1. Proveedores de servicios gestionados: Directamente en el ámbito como entidades esenciales
  2. Proveedores de nube: Directamente en el ámbito como entidades esenciales
  3. Desarrolladores de software: Obligaciones en la cadena de suministro desde entidades clientes
  4. Vendedores de seguridad: Pueden ser designados como entidades importantes

Fuentes y Referencias

[1]
Directiva (UE) 2022/2555 sobre un alto nivel común de ciberseguridad. EUR-Lex: Texto oficial NIS2
[2]
Anexos I y II de NIS2: Sectores de entidades esenciales e importantes. NIS2-Directive.com: Sectores
[3]
Artículo 21 de NIS2: Medidas de gestión de riesgos de ciberseguridad. NIS2-Directive.com: Artículo 21
[4]
Artículo 23 de NIS2: Obligaciones de notificación de incidentes. NIS2-Directive.com: Artículo 23
[5]
Artículo 34 de NIS2: Multas administrativas. NIS2-Directive.com: Artículo 34