La ciberseguridad ya no es una competencia técnica limitada a las áreas informáticas de las organizaciones, sino que constituye un factor estratégico que puede condicionar la continuidad del negocio, la integridad de la marca y la confianza de los clientes. De cara a abordar los constantes retos de un mundo digitalizado, la Unión Europea está adoptando la Directiva NIS2 para lograr un mercado más robusto y seguro. 

La normativa, aprobada en 2022, se construye sobre su predecesora de 2016 y no sólo amplía las obligaciones y responsabilidades de las empresas que deben adoptarla, sino que trabajar por convertir la ciberseguridad en una cuestión cultural. Si bien la norma afecta principalmente a compañías esenciales en el terreno de las infraestructuras, conocer sus implicaciones y cómo prepararse es una necesidad transversal a todo tipo de industrias. 

En este artículo desgranamos los aspectos clave de la Directiva NIS2: objetivo, exigencias, medidas para prepararse o impacto en el mercado. Adaptarse no es únicamente un asunto de gobernanza o compliance, sino una vía para fortalecer el negocio y la confianza y la relevancia de marca.

¿Qué es la Directiva NIS2 y cuál es su objetivo?

La Directiva NIS2 es la legislación en materia de ciberseguridad adoptada para toda la Unión Europea que busca impulsar el nivel general de ciberseguridad a nivel comunitario, así como la resiliencia de las infraestructuras críticas y de los servicios digitales. Recoge una serie de medidas legislativas y establece obligaciones de ciberseguridad, de supervisión, notificación y ejecución para entidades y Estados miembros.

Nace de la necesidad de revisar y actualizar la legislación europea vigente hasta el momento en materia de ciberseguridad, la Directiva NIS de 2016 (UE 2016/1148). Supuso el establecimiento de un marco de medidas orientadas a garantizar un alto nivel de seguridad de las redes y sistemas de información en la Unión Europea, pero se fue quedando obsoleta con el tiempo. 

La misión es, en un contexto en el que la ciberseguridad es crítica y estratégica, proteger las infraestructuras y los servicios esenciales y los datos de millones de ciudadanos no sólo desde una perspectiva técnica, sino también política, económica y social. Así, la directiva pretende garantizar un nivel común de ciberseguridad en el mercado interior, contribuyendo a una economía digital segura y resiliente.

El principal objetivo es garantizar la seguridad ante el aumento de los ataques informáticos, la proliferación de malware y la creciente preocupación por los datos personales, las transacciones online o la veracidad de la información. “Aunque pueda suponer un aumento de la inversión para muchas compañías, lo cierto es que aumentar los niveles ciberseguridad nos favorece a todos”, comenta Mireia Mintegui, Responsable de Proyectos de la empresa de dominios y hostings Dinahosting, en declaraciones a Reason.Why “La confianza digital es clave para mejorar el rendimiento de cualquier negocio y que se tomen medidas a nivel europeo va en beneficio de nuestros mercados y de la sociedad”. 

Fechas clave de la Directiva NIS2

La Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo, conocida como NIS2, fue aprobada formalmente en noviembre de 2022, y se publicó en el Diario Oficial de la Unión Europea (DOUE) el 27 de diciembre de 2022. Entró en vigor veinte días después, es decir, el 16 de enero de 2023. 

La directiva contemplaba un plazo de trasposición a los marcos legislativos nacionales de casi dos años, de tal manera que cada Estado miembro dispuso hasta el 17 de octubre de 2024 para adaptar la norma. En el caso de España, el 14 de enero de 2025 se aprobó el Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad para llevar a cabo dicha trasposición. Se prevé que la entrada en vigor de la ley se produzca a lo largo de 2025, una vez finalice su tramitación parlamentaria y se publique en el Boletín Oficial del Estado.

Ámbito de aplicación: entidades esenciales e importantes

Una de las claves de la Directiva NIS2 es la ampliación del ámbito de aplicación. En este sentido, no se limita a “operadores de servicios esenciales”, sino que incorpora a todas aquellas entidades y sectores cuya disrupción pueda comprometer el interés público. En este sentido, la directiva aplica a medianas y grandes empresas, ya sean públicas o privadas, de los sectores de alta criticidad y otros sectores críticos. 

Así, la norma distingue entre:

Entidades esenciales
Son organizaciones que se consideran críticas para el funcionamiento de la economía y la sociedad europeas. Esta categoría incluye:

• Operadores de energía, transporte, banca, infraestructuras financieras, sanidad, agua potable, aguas residuales e infraestructuras digitales
• Proveedores de redes y servicios públicos de comunicaciones electrónicas
• Proveedores de servicios de confianza cualificados y registros de nombres de dominio de primer nivel (TLD).
• Entidades de la administración pública a nivel del gobierno central
• Entidades designadas como “entidades esenciales" en virtud de la Directiva sobre la capacidad de recuperación de las entidades esenciales (CER) de la UE.

Noticias Relacionadas

De ciudades más seguras a vidas más saludables: Las 10 principales tecnologías emergentes de 2025

Los centros de datos: proveedores de conectividad e impulsores de comunidades

Entidades importantes
Aunque no son tan críticas, son organizaciones que siguen desempeñando un papel importante en la economía y la sociedad europeas. Esta categoría incluye:

• Proveedores de servicios postales y de mensajería
• Entidades de gestión de residuos
• Fabricantes de productos químicos, alimentos, dispositivos médicos, equipos eléctricos y otros productos
• Proveedores de servicios digitales como mercados en línea, motores de búsqueda y plataformas de medios sociales
• Organismos de investigación (excluidas las instituciones educativas)

Además, un Estado miembro puede identificar a una entidad, independientemente de su tamaño, como esencial o importante cuando:

• Sea el único proveedor en un Estado miembro de un servicio esencial para el mantenimiento de actividades sociales o económicas críticas
• Una perturbación del servicio prestado por la entidad pudiera tener repercusiones significativas sobre la seguridad pública, el orden público o la salud pública
• Una perturbación del servicio prestado por la entidad pudiera inducir riesgos sistémicos significativos, en particular para los sectores en los que tal perturbación podría tener repercusiones de carácter transfronterizo
• La entidad sea crítica a la luz de su importancia específica a nivel nacional o regional para el sector o tipo de servicio en concreto o para otros sectores interdependientes en el Estado miembro

Las diferencias entre NIS y NIS2

La Directiva NIS2 supone una evolución significativa con respecto a la Directiva NIS original, introducida en 2016, y sus principales diferencias residen en el ámbito de aplicación, los requisitos para las empresas y el enfoque colaborativo, con la intención de elevar el nivel de resistencia de la ciberseguridad en toda la región comunitaria. 
Estas son los puntos de ampliación: 

Ámbito de aplicación
La NIS1 sólo se aplicaba a los operadores de servicios esenciales y a los proveedores de servicios digitales en sectores específicos. Sin embargo, la NIS2 abarca una gama más amplia de entidades esenciales e importantes en 15 sectores diferentes, como la energía, el transporte, la banca, la sanidad o las infraestructuras digitales. 

Requisitos más estrictos
La NIS2 introduce requisitos de seguridad más detallados que las entidades deben aplicar, como evaluaciones de riesgos, planes de respuesta a incidentes y medidas de seguridad de la cadena de suministro. También se contemplan obligaciones más estrictas respecto a la notificación de incidentes, con plazos más cortos para comunicarse con las autoridades.

Mayores sanciones
La NIS2 otorga poderes a las autoridades nacionales para imponer sanciones más duras en caso de incumplimiento, incluidas multas de hasta 10 millones de euros o el 2% de la facturación anual global. También faculta para emitir instrucciones vinculantes o suspensiones temporales del servicio.

Mejora de la colaboración
La directiva pretende mejorar la cooperación y el intercambio de información con la creación de un nuevo Grupo de Cooperación, formado por representantes de los Estados miembros, la Comisión y la ENISA (Agencia de la Unión Europea para la Ciberseguridad). Su misión, entre otras cosas, es orientar a las autoridades competentes e intercambiar buenas prácticas. 

Las obligaciones y las sanciones

La directiva impone una serie de obligaciones para todas aquellas entidades que entran dentro del ámbito de aplicación. Estas van más allá de una serie de medidas y buscan el desarrollo de una cultura de gobernanza hacia la seguridad para que esta esté integrada en todos los procesos empresariales. En este sentido, se contemplan requisitos relacionados con la gestión de riesgos, los procesos de organización, la notificación de incidentes o la supervisión. 

Las medidas han de ser aplicadas por las entidades esenciales e importantes en sus operaciones y en la prestación de sus servicios para prevenir o minimizar las repercusiones de los incidentes. Dichas medidas se exigen de forma proporcional a los riesgos y vulnerabilidades específicas y al tamaño de las entidades. 

Las medidas de las siguientes:

• Contar con políticas de seguridad de los sistemas de información y análisis de riesgos
• Tener protocolos de gestión de incidentes
• Garantizar la continuidad de las actividades, con mecanismos como la gestión de copias de seguridad y la recuperación en caso de catástrofe, y la gestión de crisis
• Controlar la seguridad de la cadena de suministro, incluidos los aspectos de seguridad relativos a las relaciones entre cada entidad y sus proveedores o prestadores de servicios directos
• Velar por la seguridad en la adquisición, el desarrollo y el mantenimiento de sistemas de redes y de información, incluida la gestión y divulgación de las vulnerabilidades
• Contar con procedimientos para evaluar la eficacia de las medidas para la gestión de riesgos de ciberseguridad
• Tener prácticas básicas de ciberhigiene y formación en ciberseguridad
• Disponer de políticas relativas a la utilización de criptografía y cifrado
• Seguridad en los recursos humanos, con políticas de control de acceso o de gestión de activos
• Contar con soluciones de autenticación, comunicaciones de voz, vídeo y texto seguras y sistemas seguros de comunicaciones de emergencia en la entidad

Además, la directiva recoge obligaciones de notificación de cualquier incidente significativo. Se entiende por éste cualquiera que cause graves perturbaciones operativas en los servicios o que afecte a otras personas físicas o jurídicas al causar perjuicios materiales o inmateriales considerables. 

En caso de que este tipo de incidentes se produzcan, las empresas deben notificarlos a un CSIRT (Computer Security Incident Response Team), es decir, el equipo de respuesta a incidentes de seguridad informáticos; o a la autoridad competente. 
Para ello, el proceso a seguir es el siguiente: 

• Notificar al CSIRT con una alerta en las primeras 24 horas desde el conocimiento del incidente
• Otra notificación actualizando la alerta y con una evaluación que indique su gravedad e el impacto, en el plazo de 72 horas
• Informe final, en el plazo máximo de un mes, con una descripción detallada del incidente, su gravedad e impacto, problemas que se hayan desencadenado, o  medidas paliativas aplicadas

Las sanciones

La Directiva NIS2 otorga a las autoridades nacionales poderes sancionadores en el caso de incumplimiento de la normativa. Entre las medidas se contempla el apercibimiento, el requerimiento de subsanación, cese de la conducta, orden de informar a personas físicas o jurídicas que puedan verse afectadas o la prohibición temporal del ejercicio de las funciones a los responsables de la gestión. 

También se pueden Imponer multas administrativas y económicas. Estas pueden ser de un máximo de 10 millones de euros, o hasta el 2% del volumen de negocio total anual a nivel global de la empresa a la que pertenezca la entidad esencial.

¿Cómo adaptarse a la Directiva NIS2?

Se prevé que la entrada en vigor de la ley se produzca en lo que resta de 2025, por lo que es conveniente que las empresas cuentan con una estrategia definida para adaptarse al cumplimiento de la norma. La adopción de las exigencias de la directiva no se limita a una revisión de políticas o a un refuerzo de puntos clave, sino que requiere de la integración de la ciberseguridad en la cultura corporativa y la operatividad. 

Para ello resulta conveniente trazar una hoja de ruta que, entre otras cosas, incluya:

• Diagnóstico estructural: estatus de cumplimiento actual, evaluación de activos críticos, análisis de riesgos, brechas y procesos
• Configuración de la gobernanza: definición de indicadores clave, asignación de responsabilidades ejecutivas y líneas de reporte claras.
• Despliegue tecnológico: revisión de la arquitectura de seguridad, adecuación de los contratos con proveedores, o integración de estándares internacionales.
• Formación y cultura organizativa: desarrollo de programas formativos diferenciados por perfil, simulacros de incidentes y construcción de una cultura de vigilancia proactiva.

Adoptar medidas, antes incluso de que entre en vigor la directiva, ayuda a la prevención y a reducir el riesgo de brechas de seguridad. “Especialmente en materia de ciberseguridad, la prudencia es la mejor garantía para el éxito", argumenta Mireia Mintegui. "Ponerle freno a las amenazas o vulnerabilidades que puedan surgir, te cubre frente posibles pérdidas, tanto económicas como de confianza por parte de los usuarios o clientes”. 

Impacto en el mercado y la sociedad

La Directiva NIS2, más allá de un marco normativo y unas obligaciones y sanciones para las empresas, implica un salto de progreso en materia de ciberseguridad para las empresas, tanto españolas como europeas. Si bien la concienciación en esta materia ha evolucionado positivamente en los últimos años, el actual contexto de digitalización plantea nuevas amenazas y, por tanto, nuevos desafíos. 

En este sentido, tal y como trasladan desde Dinahosting, hay puntos del enfoque de ciberseguridad en el que se puede poner el foco para lograr una mayor seguridad. Uno de ellos es la creación y actualización de protocolos de actuación, prioritarios de cara a car una respuesta ágil ante las incidencias. También apuntan a las posibilidades que brindan las herramientas de inteligencia artificial a la hora de automatizar procesos, analizar datos, evaluar riesgo o adoptar medidas de seguridad más efectivas. 

El resultado de la implementación de la directiva será un sector empresarial más robusto y resiliente capaz de hacer frente a posibles riesgos e incidencias y de garantizar una mayor protección para los ciudadanos y las naciones. “A las empresas que vayan a adoptar NIS2 les recomendamos que empiecen por informarse y analizar su situación”, señala Mireia Mintegui. “Y que tengan presente que el esfuerzo que pueda suponer la implantación, va más allá de una inversión para mejorar la ciberseguridad, también supone una oportunidad para fortalecer la compañía, afianzar protocolos y ser más competitivo”.