NIS2: Guía práctica para entender el nuevo Anteproyecto de Ley de Ciberseguridad y preparar a tu empresa

La Directiva NIS2 (UE 2022/2555), vigente desde enero de 2023, establece un marco normativo para garantizar un elevado nivel común de ciberseguridad en toda la Unión Europea sobre los sectores críticos, protegiendo los servicios esenciales de la sociedad y la economía frente a ciberataques. Sustituye a la anterior Directiva NIS (2016/1148), ampliando su alcance debido al aumento de ciberamenazas, la transformación digital, y la interdependencia de los sectores críticos.

La NIS2 en España

En el contexto español, existe un Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad, que tiene como objetivo transponer la Directiva NIS2 al derecho nacional, desarrollando el marco estratégico, institucional y operativo para aplicar sus disposiciones en España.

A quién afecta

Las entidades incluidas en el ámbito de aplicación de la presente Directiva y que se verán impactadas por su entrada en vigor deben clasificarse en dos categorías:

– Entidades esenciales o críticas

Son aquellas entidades económicas o sociales que son esenciales para el funcionamiento del país. En caso de que estos sectores sufran un ciberataque puede haber consecuencias de alta gravedad para la sociedad, la economía o la seguridad nacional.

En este sentido, se considerarán entidades esenciales las infraestructuras clave en sectores como la energía, el transporte, la infraestructura digital, el agua potable y residual, la sanidad y en determinados aspectos de la administración pública. Incluyendo a todas las medianas empresas, así como a las que superen los límites establecidos para estas (es decir, grandes empresas), siempre que operen en los sectores a los que se aplica la Directiva.

– Entidades importantes

Aquellas entidades cuya actividad es relevante para la economía y la sociedad, pero cuyo impacto por interrupciones no es tan crítico como el de las entidades esenciales. En este grupo se incluyen, por ejemplo, los proveedores de servicios postales y de mensajería, los sectores dedicados a la producción, transformación y distribución de alimentos, así como los proveedores de servicios digitales, sin importar su tamaño, entre otros.

Principales obligaciones

– Medidas para la gestión de riesgos y ciberseguridad

Las entidades deben adoptar medidas técnicas, operativas y organizativas, que no solo abarcarán tecnología, sino también procesos, políticas y responsabilidades organizativas. Dichas medidas deberán ser adecuadas y proporcionadas para gestionar los riesgos de ciberseguridad que puedan afectar a la seguridad de sus redes y sistemas de información, así como a la continuidad de los servicios esenciales que prestan y a las políticas relativas a la utilización de criptografía y cifrado, entre otros.

– Notificación de incidentes

Las entidades tienen la obligación de notificar al CSIRT sin demora indebida y, en cualquier caso, en el plazo de veinticuatro horas desde que haya tenido constancia del incidente, una alerta temprana en la que se indicará si el incidente responde a una acción ilícita o puede tener repercusiones transfronterizas.

Asimismo, tienen la obligación de notificar sin demora indebida y, en cualquier caso, en el plazo de setenta y dos horas desde que se haya tenido constancia del incidente significativo, una notificación del mismo, en la que se expondrá una evaluación inicial del incidente, incluyendo su gravedad e impacto.

Por último, tienen la obligación de realizar un informe final, a más tardar un mes después de presentar la notificación del incidente en la que se recojan, una descripción detallada del mismo, el tipo de amenaza que haya desencadenado el incidente, las medidas aplicadas y, en su caso, las repercusiones que se hayan generado.

– Gobernanza y responsabilidad

Se exige que las entidades incluyan la ciberseguridad en sus políticas de gobernanza y que la alta dirección sea responsable de asegurar el cumplimiento. Deben establecer mecanismos que garanticen la formación, tanto de los directivos como de los empleados, con el objetivo de adquirir conocimientos y recursos necesarios que les permitan identificar riesgos y evaluar las prácticas de gestión de riesgos de ciberseguridad y su repercusión en los servicios proporcionados por la entidad.

– Cadena de suministro

Las entidades deberán asegurarse de que sus proveedores y colaboradores respeten los niveles de seguridad exigidos. Esto implica que las empresas revisen sus acuerdos y trabajen conjuntamente con sus socios para garantizar la protección de toda la cadena de suministro.

Impacto sectorial en pymes TIC y startsups

En principio, algunas empresas, especialmente microempresas y pequeñas empresas, no están directamente obligadas a cumplir con la Directiva NIS2 debido a los umbrales establecidos, sí se verán afectadas de forma indirecta. Esto sucede debido a que sus clientes, especialmente si son entidades esenciales o importantes, estarán sujetos a la norma, por lo que exigirán a sus proveedores el cumplimiento de requisitos de seguridad alineados con la normativa. Por este motivo, muchas pymes TIC y startups deberán adoptar buenas prácticas de ciberseguridad para poder seguir siendo proveedoras, aunque formalmente no estén obligadas por la Directiva NIS2.

¿Cómo prepararse a nivel legal y operativo?

Para cumplir correctamente con la Directiva NIS2 y su futura transposición nacional, se exige que las entidades sigan un enfoque estructurado y progresivo, que abarque tanto aspectos legales como operativos. No se trata únicamente de disponer de medidas tecnológicas, como un antivirus, sino de organizar e integrar la ciberseguridad como parte de la gestión estratégica de la organización.

Los principales pasos para una preparación adecuada son los siguientes:

– Evaluación GAP

El primer paso será realizar una evaluación comparativa entre el estado actual de la organización y los requisitos establecidos por la transposición de la Directiva NIS2. La finalidad es identificar qué requisitos ya se cumplen y cuáles necesitan ser desarrollados o reforzados por la organización.

– Diseño de un plan de acción

Tras la información adquirida en el análisis de brechas, se deberá elaborar un plan de acción adaptado a las necesidades de la entidad, es decir, detallar los pasos necesarios para alcanzar los objetivos deseados, en este caso, cumplir con la Directiva NIS2. Este plan deberá incluir:

Definición de la política de gobernanza en ciberseguridad.
Asignación de roles y responsabilidades claras dentro de la organización.
Metodología formal de gestión de riesgos.
Revisión y control de la seguridad en la cadena de suministro.
Protocolos internos para garantizar la notificación en fecha de incidentes a las autoridades competentes.

– Simulacros y auditorías internas

Por último, como parte del proceso de mejora continua, es fundamental realizar simulacros periódicos de gestión de incidentes, así como auditorías internas para verificar el grado de cumplimiento. Esto permitirá anticiparse a inspecciones de las autoridades competentes y detectar posibles debilidades antes de que se materialicen incidentes reales.

No olvides que puedes consultarnos sin compromiso

Imágenes: freepik

NIS2: Guía práctica para entender el nuevo Anteproyecto de Ley de Ciberseguridad y preparar a tu empresa

La NIS2 en España

Reglamento de la Inteligencia Artificial

Teletrabajo: cómo adaptarnos a trabajar desde casa

Proteger tu Información de la ciberseguridad 2025

Guía sobre Dominios y Tipos 2025

Cyber Resilience Act (CRA) 2025: nuevo reto legal para fabricantes y desarrolladores de productos digitales en la UE

Nuevo aviso para las pymes de Euskadi: utilizar indebidamente la Inteligencia Artificial puede llevar a multas de hasta 35 millones de euros

La NIS2 en España

Publicaciones Similares