NIS2

¿Qué es NIS2 y a quién afecta?

Guía completa para 2025

10 min de lectura

Si eres responsable de TI o propietario de una empresa mediana, probablemente has oído hablar de NIS2. Quizá recibiste un correo de un abogado o viste un artículo. Pero ¿qué es y se aplica a tu empresa?

¿Qué es NIS2?

NIS2 (Directiva de Seguridad de Redes e Información 2) es una directiva europea de ciberseguridad. Es, en esencia, una "ley NIS2" a nivel de la UE que los Estados miembros deben transponer a leyes nacionales.

En pocas palabras: la UE les dice a las empresas en sectores críticos: "Debes protegerte de los ciberataques y, si ocurre algo, debes reportarlo."

¿Por qué se creó?

Los ataques de ransomware aumentaron un 300%

El coste medio de una brecha de datos alcanzó los €4,5 millones

Los ataques a la cadena de suministro mostraron riesgos sistémicos

¿Cuándo entró en vigor?

Adopción de la directivaEnero de 2023
Fecha límite de transposición17 de octubre de 2024
Entrada en vigor totalDesde octubre de 2024

Desde octubre de 2024, los organismos reguladores (NBÚ en Eslovaquia, NÚKIB en Chequia) pueden realizar controles e imponer multas.

¿A quién afecta NIS2?

NIS2 amplía el alcance a muchas más empresas que la directiva anterior.

Sectores de alta criticidad

  • Energía (electricidad, gas, petróleo, calor, hidrógeno)
  • Transporte (aire, ferrocarril, agua, carretera)
  • Banca y mercados financieros
  • Salud
  • Agua potable y aguas residuales
  • Infraestructura digital (DNS, cloud, centros de datos, CDN)
  • Administración pública

Otros sectores críticos

  • Servicios postales y de mensajería
  • Gestión de residuos
  • Industria química
  • Industria alimentaria
  • Manufactura (dispositivos médicos, ordenadores, electrónica, maquinaria, vehículos)
  • Servicios digitales (mercados en línea, motores de búsqueda, redes sociales)
  • Investigación

Criterio de tamaño

Estar en un sector regulado no es suficiente. También debes cumplir criterios de tamaño:

Empresa mediana: 50-249 empleados O €10-50M de facturación

Empresa grande: 250+ empleados O €50M+ de facturación

Ejemplo: una empresa manufacturera con 80 empleados y €15M de facturación está sujeta a NIS2.

¿Qué exige NIS2?

La directiva define medidas mínimas que debes implementar:

Gestión de riesgos

Identificación y evaluación de riesgos, implementación de medidas adecuadas

Respuesta a incidentes

Plan de respuesta a incidentes, mecanismos de detección, procedimientos de recuperación

Continuidad del negocio

Copias de seguridad, recuperación ante desastres, gestión de crisis

Seguridad de la cadena de suministro

Evaluación de riesgos de proveedores, requisitos de seguridad en contratos

Higiene cibernética y formación

Concienciación en seguridad, formación de empleados

Criptografía y control de acceso

Cifrado de datos, autenticación multifactor

Notificación de incidentes

Una de las obligaciones más importantes es notificar incidentes de seguridad:

24 horas

Aviso temprano

72 horas

Notificación

1 mes

Informe final

¿Qué pasa si no cumples?

Entidades esenciales: €10.000.000 o 2% de la facturación global

Entidades importantes: €7.000.000 o 1,4% de la facturación global

Responsabilidad personal: los miembros de la dirección pueden ser personalmente responsables por incumplimiento.

¿Cómo empezar?

1

Verifícalo

Comprueba los criterios: sector y tamaño.

2

Haz una evaluación

Evalúa el estado actual de tu ciberseguridad.

3

Prioriza

Empieza por las áreas más críticas: respuesta a incidentes, control de acceso, copias de seguridad.

4

Documenta

NIS2 requiere documentación. Políticas, procedimientos, registros.

¿Quieres saber dónde estás?

5 minutos, sin registro

Este artículo es solo informativo y no constituye asesoramiento legal.