Glosario · Ciberseguridad de la UE NIS2 (Network and Information Security Directive 2)
Directiva europea de ciberseguridad aplicable a entidades esenciales e importantes en más de 18 sectores, con fecha límite de transposición nacional en octubre de 2024.
## Qué hace realmente NIS2
NIS2 (Directiva (UE) 2022/2555) es la directiva europea de ciberseguridad que sustituyó a la Directiva NIS original de 2016. Amplía significativamente el alcance de las obligaciones de ciberseguridad y armoniza los requisitos en los Estados miembros de la UE.
La directiva entró en vigor en enero de 2023 con plazo de transposición nacional el 17 de octubre de 2024. La aplicación entre Estados miembros ha sido desigual: algunos cumplieron a tiempo, otros se retrasaron significativamente.
## A quién se aplica NIS2
NIS2 amplía drásticamente el alcance respecto a su predecesora. Se aplica a:
**Entidades esenciales** (sectores de alta criticidad):
- Energía (electricidad, petróleo, gas, hidrógeno, calefacción urbana)
- Transporte (aéreo, ferroviario, marítimo, por carretera)
- Banca e infraestructuras de mercados financieros
- Salud (sanidad, farmacéutica)
- Agua potable y aguas residuales
- Infraestructura digital (proveedores cloud, centros de datos, DNS, CDN)
- Gestión de servicios TIC (B2B)
- Administración pública
- Espacio
**Entidades importantes** (otros sectores críticos):
- Servicios postales y de mensajería
- Gestión de residuos
- Fabricación de ciertos productos críticos (productos químicos, dispositivos médicos, electrónica, maquinaria, vehículos)
- Producción, transformación y distribución de alimentos
- Proveedores digitales (mercados en línea, motores de búsqueda, redes sociales)
- Investigación
Se aplican umbrales de tamaño: las entidades medianas (más de 50 empleados, más de 10 millones de euros de facturación) y grandes suelen estar dentro del alcance; las pequeñas/microempresas suelen quedar excluidas.
## Requisitos esenciales
Las organizaciones bajo NIS2 deben implementar:
**1. Medidas de gestión de riesgos**: al menos 10 categorías específicas:
- Análisis de riesgos y políticas de seguridad de los sistemas de información
- Procedimientos de gestión de incidentes
- Continuidad del negocio (copias de seguridad, recuperación ante desastres, gestión de crisis)
- Seguridad de la cadena de suministro
- Seguridad de redes y sistemas de información en adquisición, desarrollo y mantenimiento
- Políticas para evaluar la eficacia de las medidas de ciberseguridad
- Higiene cibernética y formación
- Políticas de criptografía (incluido el cifrado)
- Seguridad de RR. HH., controles de acceso, gestión de activos
- Autenticación multifactor, comunicaciones seguras
**2. Notificación de incidentes**: los incidentes significativos deben notificarse:
- **Alerta temprana** en 24 horas
- **Notificación del incidente** en 72 horas
- **Informe final** en un mes
**3. Seguridad de la cadena de suministro**: las entidades deben evaluar y gestionar los riesgos de ciberseguridad de sus proveedores y prestadores de servicios.
**4. Responsabilidad de la dirección**: la alta dirección es personalmente responsable del cumplimiento, incluida la aprobación de medidas y la supervisión de la implementación.
## Estructura sancionadora
NIS2 introduce sanciones significativas:
- **Entidades esenciales**: hasta 10 millones de euros o el 2 % de la facturación anual mundial (lo que sea mayor)
- **Entidades importantes**: hasta 7 millones de euros o el 1,4 % de la facturación
Los Estados miembros pueden imponer sanciones adicionales a la dirección por incumplimiento.
## Qué significa al elegir herramientas
Los requisitos de seguridad de la cadena de suministro de NIS2 afectan específicamente a la selección de proveedores tecnológicos. Las organizaciones bajo NIS2 deben evaluar la postura de ciberseguridad de sus proveedores y documentar esa evaluación.
Para las organizaciones europeas, esto presiona a:
**1. Elegir proveedores con sólidas certificaciones de ciberseguridad.** ISO 27001, SOC 2, BSI C5 o equivalentes. La mayoría de los grandes proveedores cloud de la UE (Hetzner, Scaleway, OVHcloud, Infomaniak) cuentan con estas certificaciones.
**2. Preferir proveedores con residencia UE.** Las obligaciones de notificación de NIS2 y la coordinación de la respuesta a incidentes funcionan mejor cuando los proveedores están sujetos a marcos regulatorios europeos. Los proveedores con sede en EE. UU. pueden cumplir, pero requieren mecanismos contractuales adicionales.
**3. Documentar la evaluación de proveedores.** NIS2 exige demostrar que las consideraciones de ciberseguridad influyeron en las decisiones de compra, no solo si se tuvieron en cuenta.
**4. Para los propios proveedores de infraestructura digital**: si tu negocio es proveedor cloud, centro de datos, proveedor DNS o CDN, estás directamente en el alcance como entidad esencial.
## Por qué NIS2 importa más allá del cumplimiento formal
Incluso para organizaciones que no están formalmente en el alcance, NIS2 fija de facto la línea base europea de ciberseguridad. Las aseguradoras hacen referencia a NIS2 para la cobertura cibernética. Los equipos de compras utilizan cada vez más las categorías de NIS2 en las evaluaciones de proveedores. Las agencias de ciberseguridad de los Estados miembros usan NIS2 como marco de referencia.
Para las empresas europeas que planifican inversión a largo plazo en ciberseguridad, tratar NIS2 como línea base y no solo como techo de cumplimiento es operativamente sólido.
## Estado de la implementación (a 2026)
La aplicación ha sido desigual entre Estados miembros:
- **Implementación a tiempo**: la mayoría de los países nórdicos, Alemania, Francia
- **Implementación retrasada**: varios países del sur y el este de Europa transpusieron a finales de 2024 o en 2025
- **Aplicación activa**: en general, comienza en 2025-2026 a medida que las autoridades nacionales se ponen al día
La Comisión Europea ha iniciado procedimientos de infracción contra Estados miembros con retrasos significativos. Espera que la aplicación activa de NIS2 sea un tema clave de ciberseguridad durante 2026-2027.
## Marcos europeos de ciberseguridad relacionados
NIS2 forma parte de un panorama jurídico europeo de ciberseguridad más amplio:
- **Cyber Resilience Act (CRA)**: cubre la ciberseguridad de productos con elementos digitales, en vigor desde 2024
- **DORA**: resiliencia operativa para servicios financieros, en vigor desde enero de 2025
- **eIDAS 2.0**: identidad digital y servicios de confianza
- **RGPD**: protección de datos, complementaria pero distinta de la ciberseguridad
Para las organizaciones que navegan múltiples marcos, mapear las superposiciones y los requisitos únicos es esencial. NIS2 fija la línea base de ciberseguridad; las regulaciones sectoriales (DORA, CRA) se construyen sobre ella.
¿Te resultó útil?
¡Gracias por tu opinión!