1. Página Principal
  2. Recursos
  3. ¿Qué es la Directiva NIS 2? Una guía sencilla y detallada

¿Qué es la Directiva NIS 2? Una guía sencilla y detallada

Artículo de Advisera Dejan KosuticDejan Kosutic 18 min de lectura
TABLA DE CONTENIDO
Conceptos básicos de la NIS2

Resumen de la Directiva NIS 2 ¿Cuál es la Directiva NIS anterior? ¿En qué se diferencia de la nueva NIS 2? ¿Qué significa “NIS”? ¿Por qué es importante la NIS 2? ¿Dónde puedo encontrar el texto completo de la NIS 2? ¿Cuándo entra en vigor la NIS2?

Requisitos de la NIS2

¿A quién se aplica la NIS2? ¿Cuáles son las entidades esenciales e importantes? ¿En qué se diferencian? ¿Cuál es la estructura de la NIS 2? ¿Cuáles son los principales requisitos de ciberseguridad de la NIS 2? ¿Cuáles son las obligaciones de notificación de las entidades esenciales e importantes? ¿Cómo implementar la ciberseguridad según la NIS 2?

Multas; papel del gobierno

¿Qué son las multas y la responsabilidad en la NIS 2? La certificación en la NIS 2 ¿Qué organismos gubernamentales se definen en la NIS 2? ¿Qué leyes han publicado los países de la UE basándose en la NIS 2? (Transposición de la NIS 2)

Relación con otros marcos normativos

¿Cómo se relaciona la NIS2 con la ISO 27001? ¿Cuál es la diferencia entre la NIS 2 y el RGPD de la UE? ¿Cuál es la diferencia entre la NIS 2 y el DORA? ¿Cuál es la diferencia entre la NIS 2 y la Directiva de Resiliencia de las Entidades Críticas (CER)?

Actualizado el 6 de marzo de 2024 (transposición en los Estados miembros)

Conceptos básicos de la NIS2

Resumen de la Directiva NIS2

La “Directiva NIS 2 (SRI 2)”, o solo “NIS 2 (SRI 2)”, es una directiva de la Unión Europea que determina los requisitos de ciberseguridad que deben implementar las compañías de la Unión Europea que se consideran como infraestructuras críticas.

Su nombre completo es “Directiva (EU) 2022/2555 relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión Europea” y se publicó el 14 de diciembre de 2022.

Como la NIS 2 es una directiva, cada país de la UE debe crear sus propias leyes de ciberseguridad basándose en ella, que determina el nivel de ciberseguridad mínimo que se debe alcanzar. En la práctica, esto implica que en algunos países las compañías solo tendrán que cumplir con el mínimo previsto en la NIS 2, mientras que en otros países tendrán que cumplir con requisitos de ciberseguridad más estrictos establecidos en las leyes locales.

NIS 2 incluye un “2” porque sustituye a la anterior Directiva NIS.

La Directiva NIS2 podría convertirse para la ciberseguridad en el equivalente a lo que supone el RGPD de la UE en materia de privacidad: un estándar mundial que otros países utilizan como referente de buenas prácticas para su propia legislación.

¿Cuál es la Directiva NIS anterior? ¿En qué se diferencia de la nueva NIS 2?

La antigua directiva NIS (Directiva 2016/1148, conocida por sus siglas en inglés como NIS) también regulaba la ciberseguridad para las infraestructuras críticas, pero no logró introducir el mismo nivel de ciberseguridad en todos los Estados miembros, ocasionando una importante fragmentación.

La nueva NIS2 introduce una mayor variedad de industrias (sectores) que deben cumplir con su contenido, mejor cooperación entre los Estados miembros, nuevos plazos para notificar incidentes, más atención sobre las cadenas de suministro, la responsabilidad de la dirección de las entidades, sanciones más estrictas, etc.

El 18 de octubre de 2024, la NIS 2 sustituirá a la anterior NIS.

¿Qué es la Directiva NIS 2? Una guía sencilla y detallada - Advisera

¿Qué significa “NIS”?

El título completo de la antigua directiva NIS era: “Directiva (UE) 2016/1148 relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión”.

Por tanto, “NIS” hace referencia a la Seguridad de las Redes y la Información. En inglés, se conoce a esta Directiva como “NIS”, abreviatura de “Network and Information Systems”.

¿Por qué es importante la NIS 2?

La NIS 2 es importante porque establece requisitos de ciberseguridad muy estrictos para un gran número de compañías en la Unión Europea (algunas estimaciones calculan que más de 100.000 empresas en la Unión Europea tendrán que cumplir con la NIS 2).

Aunque la NIS 2 no resulta aplicable a tantas compañías como el RGPD de la UE, seguramente se convertirá 'de facto' en un estándar para las infraestructuras críticas que otros países ajenos a la UE tratarán de emular. Algo muy similar ha ocurrido ya en los países externos a la UE con las normativas sobre privacidad que son muy parecidas al RGPD.

¿Dónde puedo encontrar el texto completo de la NIS 2?

El texto oficial está disponible aquí: https://eur-lex.europa.eu/legal-content/ES/TXT/?uri=CELEX:32022L2555.

También puede encontrar el texto completo aquí, organizado por capítulos y artículos y con la posibilidad de buscar palabras clave: Texto completo de la Directiva NIS 2.

¿Cuándo entra en vigor la NIS2?

La NIS 2 entrará en vigor el 18 de octubre de 2024. Para entonces, los países de la UE deben haber publicado sus propias leyes y reglamentos basados en la NIS 2.

Requisitos de la NIS2

¿A quién se aplica la NIS2?

Hay 3 criterios que definen las organizaciones (llamadas "entidades esenciales y "entidades importantes") que deben cumplir con la NIS 2:

  • 1) Ubicación – si ofrecen servicios o desarrollan actividades en cualquier país de la Unión Europea (con independencia de si tienen su sede en la UE o no); y
  • 2) Tamaño – si tienen más de 50 empleados y más de 10 millones de euros en ingresos; y
  • 3) Sector – si operan en alguno de estos sectores:
    • Energía
    • Transporte
    • Banca
    • Infraestructuras de los mercados financieros
    • Sector sanitario
    • Agua potable
    • Aguas residuales
    • Infraestructura digital
    • Gestión de servicios de TIC (de empresa a empresa)
    • Administración Pública
    • Espacio
    • Servicios postales y de mensajería
    • Gestión de residuos
    • Fabricación, producción y distribución de sustancias y mezclas químicas
    • Producción, transformación y distribución de alimentos
    • Fabricación
    • Proveedores de servicios digitales
    • Investigación

Este artículo contiene un desglose detallado de las compañías que deben cumplir esta norma en cada sector: ¿Qué compañías deben cumplir con la NIS 2? Entidades esenciales y entidades importantes.

¿Qué es la NIS 2? Una guía para entenderla fácilmente | Advisera

 

¿Cuáles son las entidades esenciales e importantes? ¿En qué se diferencian?

“Entidades esenciales” y “entidades importantes” es la forma que usa la NIS 2 para referirse a las compañías y otras organizaciones que deben cumplir con la NIS 2.

Las entidades esenciales son las siguientes:

  • Compañías con más de 250 empleados o 50 millones de euros de ingresos que forman parte de alguno de estos sectores: energía, transporte, banca, infraestructuras de los mercados financieros, sector sanitario, agua potable, aguas residuales, infraestructura digital, gestión de servicios de TIC (de empresa a empresa), Administración pública o espacio
  • Prestadores de servicios de confianza
  • Proveedores de servicios de DNS
  • Redes públicas de comunicaciones electrónicas
  • Entidades de la Administración pública
  • Cualquier entidad considerada crítica según la Directiva (UE) 2022/2557 sobre resiliencia de las entidades críticas (CER)
  • Otras entidades especificadas por los Estados miembros

Las entidades importantes son todas las demás organizaciones que no son entidades esenciales pero cumplen con los 3 criterios mencionados en la sección anterior.

¿Cuál es la estructura de la NIS 2?

La NIS 2 empieza con un preámbulo en el que, en 144 puntos, explica los antecedentes y ofrece algunas orientaciones para la mayor parte de la Directiva. La parte principal de la NIS 2 tiene 46 artículos que se dividen en los siguientes capítulos:

Puede leer todos los artículos de la NIS 2 aquí: Texto completo de la Directiva NIS 2.

¿Cuáles son los principales requisitos de ciberseguridad de la NIS 2?

Sorprendentemente, solo el Capítulo IV, llamado “Medidas para la gestión de riesgos de ciberseguridad y obligaciones de notificación”, define lo que las entidades esenciales e importantes deben hacer para cumplir con la NIS 2. El resto de capítulos no son relevantes para estas compañías porque determinan las obligaciones de los países de la UE (Estados miembros) y lo que las entidades gubernamentales deben hacer para implementar la NIS 2.

El Capítulo IV incluye estos artículos:

Para una descripción detallada de los requisitos del Capítulo IV, lea este artículo: Los 8 requisitos de ciberseguridad y las obligaciones de notificación más importantes en la NIS 2.

¿Cuáles son las obligaciones de notificación de las entidades esenciales e importantes?

Las entidades esenciales e importantes deben enviar notificaciones sobre incidentes significativos a:

  • Un equipo de respuesta a incidentes de seguridad informática (CSIRT, por sus siglas en inglés) o autoridad competente
  • Los destinatarios de sus servicios

Las entidades tienen que presentar varios tipos de informes al CSIRT: una alerta temprana, una notificación de incidente, un informe intermedio, un informe final y un informe de situación.

Obtenga más información aquí: ¿Cuáles son las obligaciones de notificación según la NIS 2?

¿Cómo implementar la ciberseguridad según la NIS 2?

Para cumplir con la NIS 2, las buenas prácticas para las entidades esenciales e importantes pasan por seguir estos pasos de implementación:

  1. Conseguir soporte de gestión experto.
  2. Configurar la gestión del proyecto.
  3. Realizar la formación inicial.
  4. Redactar una política de primer nivel sobre la seguridad de los sistemas de información.
  5. Definir la Metodología de Gestión de Riesgos.
  6. Realizar la evaluación y el tratamiento de los riesgos.
  7. Redactar y aprobar un Plan de Tratamiento de Riesgos.
  8. Implementar medidas de ciberseguridad.
  9. Configurar la seguridad de la cadena de suministros.
  10. Configurar la evaluación de la efectividad de la ciberseguridad.
  11. Configurar las notificaciones de incidentes.
  12. Establecer una formación continua en ciberseguridad.
  13. Realizar auditorías internas periódicas.
  14. Realizar revisiones periódicas de la gestión.
  15. Ejecutar acciones correctivas.

Este artículo explica los pasos con más detalle: 15 pasos para la implementación de medidas para la gestión de riesgos de ciberseguridad en la NIS 2. Este otro artículo le orienta sobre cómo redactar los documentos necesarios: Lista de documentos exigidos por la NIS 2.

Multas; papel del gobierno

¿Qué son las multas y la responsabilidad en la NIS 2?

Para las compañías que no cumplan con la NIS 2, las multas son las siguientes:

  • Para entidades esenciales: hasta 10 millones de euros o el 2% de la facturación anual total.
  • Para entidades importantes: hasta 7 millones de euros o el 1,4% de la facturación anual total.

Es importante destacar que el artículo 20 requiere que los directivos de las entidades esenciales e importantes aprueben las medidas de gestión de riesgos de ciberseguridad y supervisen su implementación, y especifica que los miembros de los órganos de dirección pueden ser considerados responsables si la ciberseguridad no cumple con el artículo 21.

La certificación en la NIS 2

La NIS 2 no exige que las entidades esenciales e importantes obtengan ninguna certificación.

Sin embargo, los Estados miembros (o la Comisión de la UE) pueden exigir a esas entidades que utilicen productos o servicios de TIC concretos que cuenten con certificación según el esquema europeo de certificación de la ciberseguridad de acuerdo con la normativa sobre ciberseguridad (Reglamento de la UE 2019/881).

¿Qué organismos gubernamentales se definen en la NIS 2?

  • Los “Estados miembros” son países que pertenecen a la Unión Europea y deben publicar sus propias leyes y reglamentos sobre ciberseguridad basándose en la NIS 2.
  • Las “autoridades competentes” son designadas por los Estados miembros para supervisar a las entidades esenciales e importantes que deben cumplir con la NIS 2 y las leyes de ciberseguridad locales.
  • Los “puntos de contacto únicos” son establecidos por los Estados miembros para permitir la cooperación transfronteriza entre autoridades.
  • Las “autoridades de gestión de crisis de ciberseguridad” son autoridades competentes, designadas por los Estados miembros, que son responsables de la gestión de incidentes y crisis de ciberseguridad a gran escala.
  • Los “equipos de respuesta a incidentes de seguridad informática” (CSIRT) son designados por los Estados miembros para gestionar incidentes siguiendo procesos definidos.
  • La “red europea de organizaciones de enlace para las crisis de ciberseguridad” (EU-CyCLONe) apoya la gestión coordinada de incidentes y crisis de ciberseguridad a gran escala.
  • El “Grupo de Cooperación” facilita la cooperación estratégica y el intercambio de información entre Estados miembros.
  • La "Agencia de la Unión Europea para la Ciberseguridad" (ENISA) establece una base de datos de vulnerabilidades, crea un informe bienal sobre la situación de la ciberseguridad en la Unión, mantiene un registro de entidades con estatus especial, elabora directrices sobre las áreas técnicas y las normas existentes, etc.

¿Qué leyes han publicado los países de la UE basándose en la NIS 2? (Transposición de la NIS 2)

Los países de la UE (Estados miembros) deben publicar leyes y reglamentos locales en desarrollo de la Directiva NIS 2 antes del 17 de octubre de 2024. Este proceso de elaboración de legislación local basado en una directiva de la UE se conoce como “transposición”.

A fecha de redacción de este artículo, sólo un Estado miembro ha incorporado la NIS 2 a su legislación local:

Relación con otros marcos normativos

¿Cómo se relaciona la NIS2 con la ISO 27001?

La NIS 2 no exige la implementación de la norma ISO 27001. Sin embargo, sí menciona la serie ISO/IEC 27000 en el preámbulo como una forma de implementar medidas de gestión de riesgos de ciberseguridad, y la parte principal de la NIS 2 fomenta el uso de normas internacionales.

Al comparar de cerca la NIS 2 con la ISO 27001, queda claro que la ISO 27001 proporciona un excelente marco para cumplir con las medidas de gestión de riesgos de ciberseguridad que impone la NIS 2.

La ISO 27001 proporciona una guía clara sobre cómo definir el proceso de gestión de riesgos, cómo combinar la implementación técnica con la formación y otras cuestiones de recursos humanos, cómo involucrar a los directivos, etc.

¿Cuál es la diferencia entre la NIS 2 y el RGPD de la UE?

El título completo del RGPD de la UE es “Reglamento (UE) 2016/679 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento general de protección de datos)”.

Aunque tanto la NIS 2 como el RGPD se centran en la protección de datos, son bastante diferentes:

NIS 2 RGPD UE
Tipo Directiva (las compañías cumplen con la legislación local que se publica) Reglamento (directamente aplicable a las compañías)
Se aplica a Organizaciones que se consideran entidades esenciales e importantes Cualquier organización que procese datos personales
Protección Las medidas de ciberseguridad se aplican a todos los datos de la compañía Las medidas de ciberseguridad se aplican solo a los datos personales; también hay un aspecto legal de la protección de datos personales
Entrada en vigor 18 de octubre de 2024 25 de mayo de 2018

¿Cuál es la diferencia entre la NIS 2 y el DORA?

El título completo del DORA es “Reglamento (UE) 2022/2554 sobre la resiliencia operativa digital del sector financiero”.

Aunque la NIS 2 y el DORA se publicaron el mismo día (27 de diciembre de 2022), existen grandes diferencias entre ambas normas:

NIS 2 DORA
Tipo Directiva (las compañías cumplen con la legislación local que se publica) Reglamento (directamente aplicable a las entidades financieras)
Se aplica a Organizaciones que se consideran entidades esenciales e importantes Entidades financieras
Protección Énfasis en las medidas de ciberseguridad Además de las medidas de ciberseguridad, también enfatiza la resiliencia general de las entidades financieras
Entrada en vigor 18 de octubre de 2024 17 de enero de 2025

¿Cuál es la diferencia entre la NIS 2 y la Directiva de Resiliencia de las Entidades Críticas (CER)?

El título completo de la CER es “Directiva (UE) 2022/2557 sobre la resiliencia de las entidades críticas”.

Aunque la NIS 2 y la CER (así como el DORA) se publicaron el mismo día (27 de diciembre de 2022), tienen un enfoque diferente:

NIS 2 CER
Tipo Directiva (las compañías cumplen con la legislación local que se publica) Directiva (las compañías cumplen con la legislación local que se publica)
Se aplica a Organizaciones que se consideran entidades esenciales e importantes Organizaciones que se consideran críticas según una decisión del Estado miembro
Protección Énfasis en las medidas de ciberseguridad Énfasis en la resiliencia y la continuidad de las actividades
Entrada en vigor 18 de octubre de 2024 18 de octubre de 2024. Sin embargo, las entidades críticas tienen 10 meses para cumplir con esta norma desde el día en que sean designadas como críticas

Para más información sobre la NIS2, descargue este libro blanco gratuito: Guía completa de la Directiva NIS 2.

 
Etiquetas Artículos NIS 2 Basics
Advisera Dejan Kosutic

Dejan Kosutic

Destacado experto en ciberseguridad y seguridad de la información y autor de varios libros, artículos, webinars y cursos. Como experto de primer nivel, Dejan fundó Advisera para ayudar a las pequeñas y medianas empresas a conseguir los recursos que necesitan para cumplir con la normativa de la UE y las normas ISO. Cree que conseguir que los marcos regulatorios complejos resulten fáciles de entender y usar crea una ventaja competitiva para los clientes de Advisera, y que la IA es clave para lograrlo.

Como experto en ISO 27001 y NIS 2, Dejan ayuda a las empresas a encontrar el mejor camino hacia el cumplimiento normativo, eliminando gastos fijos y adaptando la implementación al tamaño y las necesidades específicas del sector.

Leer más artículos de Dejan Kosutic