De NIS a NIS2: por qué se actualizó la directiva

La Directiva NIS (Network and Information Security) fue la primera norma de ciberseguridad de alcance europeo, adoptada en 2016. Estableció obligaciones básicas para operadores de servicios esenciales y proveedores de servicios digitales en sectores como energía, transporte, salud y banca.

Sin embargo, su implementación mostró limitaciones importantes: alcance irregular entre estados miembros, umbrales poco claros para determinar quién quedaba sujeto a la directiva, y ausencia de mecanismos efectivos de supervisión. La digitalización acelerada y los ataques a cadenas de suministro pusieron en evidencia que el marco original era insuficiente.

NIS2 (Directiva 2022/2555) reemplaza a NIS1 y amplía significativamente el alcance, las obligaciones y las sanciones. Entró en vigor en enero de 2023 y debía transponerse a los ordenamientos nacionales antes del 17 de octubre de 2024.

Quién está sujeto a NIS2

NIS2 introduce una clasificación en dos niveles:

Entidades esenciales: operadores en sectores de alta criticidad como energía (electricidad, gas, petróleo, hidrógeno), transporte (aéreo, ferroviario, marítimo, por carretera), banca, infraestructuras de mercados financieros, salud, agua potable y aguas residuales, infraestructura digital (DNS, servicios cloud, centros de datos, redes de comunicaciones) y administración pública.

Entidades importantes: operadores en sectores adicionales como servicios postales, gestión de residuos, fabricación de productos críticos (productos químicos, alimentos, dispositivos médicos, equipos electrónicos), proveedores de servicios digitales (mercados en línea, motores de búsqueda, redes sociales) e investigación.

En general, la directiva aplica a organizaciones con más de 50 empleados o más de 10 millones de euros de volumen de negocio. Las microempresas quedan excluidas salvo excepciones específicas. Los estados miembros pueden ampliar el alcance a entidades más pequeñas si lo consideran necesario.

Qué obliga NIS2 a hacer

Las obligaciones principales se articulan en torno a cuatro áreas:

1. Gestión del riesgo de ciberseguridad. Las entidades deben aplicar medidas técnicas y organizativas proporcionales al riesgo. NIS2 especifica áreas mínimas que deben cubrirse: políticas de análisis de riesgos, gestión de incidentes, continuidad de negocio, seguridad de la cadena de suministro, adquisición y desarrollo seguros, evaluación de la eficacia de las medidas, formación en ciberseguridad, uso de criptografía y control de acceso.

2. Notificación de incidentes. Los incidentes significativos deben notificarse a las autoridades competentes en plazos estrictos: alerta temprana en 24 horas, notificación en 72 horas y un informe final en 30 días. Los plazos son más exigentes que en NIS1 y comparables a los del RGPD para brechas de datos personales.

3. Supervisión de la cadena de suministro. Las entidades son responsables de evaluar la ciberseguridad de sus proveedores críticos e incluir requisitos de seguridad en los contratos. Esta es una de las novedades más relevantes para las organizaciones que trabajan con proveedores TIC.

4. Gobernanza y responsabilidad de la dirección. Los órganos de dirección son personalmente responsables de aprobar las medidas de gestión del riesgo y de formarse en ciberseguridad. NIS2 establece explícitamente que la dirección no puede delegar esta responsabilidad.

Sanciones

NIS2 endurece significativamente el régimen sancionador:

  • Entidades esenciales: hasta 10 millones de euros o el 2% del volumen de negocio anual global (el importe mayor).
  • Entidades importantes: hasta 7 millones de euros o el 1,4% del volumen de negocio anual global.

Además, los estados miembros pueden imponer sanciones adicionales, como la suspensión temporal de actividades o la inhabilitación de directivos.

El estado de la transposición en España

El plazo de transposición era octubre de 2024. Como ocurrió en otros estados miembros, España no completó la transposición en plazo. El desarrollo normativo está en proceso, pero la obligación de cumplimiento existe desde la entrada en vigor de la directiva, independientemente de si se ha aprobado la norma de transposición nacional.

Las organizaciones afectadas no deben esperar a que exista una ley nacional específica para iniciar la adecuación. El marco de referencia es la directiva europea, y las autoridades supervisoras (el CCN para el sector público y el INCIBE para el privado, entre otros) están activas.

Cómo prepararse

El punto de partida para cualquier organización que pueda estar sujeta a NIS2 es determinar si efectivamente entra en el alcance. No siempre es evidente: los criterios de sector, tamaño y actividad requieren un análisis caso a caso.

Una vez confirmado el alcance, el proceso razonable incluye:

  • Evaluación del nivel de madurez actual respecto a los requisitos NIS2
  • Análisis de riesgos adaptado al contexto específico de la entidad
  • Identificación y priorización de brechas
  • Plan de acción con responsables y plazos
  • Implantación de medidas técnicas y organizativas priorizadas
  • Establecimiento del proceso de notificación de incidentes
  • Revisión de contratos con proveedores críticos

ISO 27001 es compatible con NIS2 y puede usarse como marco de referencia para muchas de las medidas requeridas. Sin embargo, no es equivalente ni suficiente por sí solo para acreditar el cumplimiento con la directiva. La adecuación a NIS2 requiere un análisis específico del alcance y las obligaciones aplicables a cada organización.