N2 Directiva NIS2

Directiva NIS2: guía clara, práctica y en español

Entiende qué es NIS2, a qué empresas aplica, qué exige y cómo empezar a cumplirla sin tecnicismos innecesarios.

Ver requisitos clave Empezar con un plan

Qué es NIS2

Resumen claro de objetivos y alcance.

Normativa

Marco legal UE y adaptación en España.

Requisitos

Medidas de gestión de riesgos y reporte.

Empresas afectadas

Sectores y criterios de tamaño/impacto.

Qué es la Directiva NIS2

NIS2 es la directiva europea que refuerza la ciberseguridad y la resiliencia operativa de sectores esenciales y de servicios digitales en la Unión Europea. Amplía el alcance de la normativa anterior (NIS) e introduce obligaciones más claras de gestión de riesgos y comunicación de incidentes.

Objetivos

  • Reducir el riesgo y el impacto de ciberincidentes.
  • Armonizar requisitos entre Estados miembros.
  • Mejorar el intercambio y reporte de información.

Novedades respecto a NIS

  • Más sectores y tipos de entidad cubiertos.
  • Requisitos de gobernanza y responsables directivos.
  • Plazos y criterios de notificación más definidos.

Normativa y marco legal

La Directiva (UE) 2022/2555 establece medidas para lograr un elevado nivel común de ciberseguridad en la UE. Cada Estado miembro adapta la directiva a su ordenamiento y designa autoridades competentes, puntos de contacto y CSIRT nacionales.

Piezas clave

  • Transposición nacional y autoridades competentes.
  • Supervisión y régimen sancionador.
  • Cooperación europea (red CSIRTs, EU-CyCLONe).

Enlaces oficiales

Requisitos y obligaciones principales

Las entidades cubiertas por NIS2 deben implantar medidas de gestión de riesgos y notificar incidentes significativos. A alto nivel, las obligaciones combinan controles técnicos, organizativos y de gobernanza.

Gobernanza y riesgos

  • Política de seguridad y gestión de riesgos.
  • Responsabilidad del órgano de dirección.
  • Formación y concienciación.

Controles técnicos

  • Gestión de activos, parches y vulnerabilidades.
  • Segmentación de red y control de accesos.
  • Detección y respuesta (monitorización, logs).

Notificación de incidentes

  • Detección temprana y evaluación de impacto.
  • Comunicación a autoridades competentes.
  • Medidas de mitigación y lecciones aprendidas.

Checklist breve

Empresas y sectores afectados

NIS2 distingue entre entidades esenciales y entidades importantes en múltiples sectores (p. ej., energía, salud, transporte, financiero, agua, administración pública, proveedores digitales, entre otros). También considera el tamaño e impacto de la organización.

Esenciales

Servicios cuya interrupción tendría un impacto significativo en la sociedad o la economía.

Importantes

Entidades con papel relevante en la cadena de suministro o prestación de servicios clave.

Criterios

Sector, tamaño (p. ej., mediana/grande) y nivel de criticidad del servicio prestado.

Nota: la determinación final depende de la transposición nacional y listados sectoriales específicos.

Cómo cumplir: plan en 6 pasos

  1. 1) Alcance y diagnóstico

    Identifica servicios esenciales/importantes, activos críticos y brechas actuales.

  2. 2) Gobierno y políticas

    Aprueba roles, responsabilidades y políticas (riesgos, parches, accesos, logs).

  3. 3) Controles técnicos

    Segmentación, MFA, hardening, copias, monitorización, detección y respuesta.

  4. 4) Cadena de suministro

    Evalúa proveedores, define cláusulas de seguridad y requisitos de reporte.

  5. 5) Formación y pruebas

    Capacita al personal y prueba planes (table-tops, simulacros de incidentes).

  6. 6) Mejora continua

    KPIs, auditorías internas y revisión por la dirección para afinar el sistema.

Ver recursos Contactar

Recursos y guías prácticas

Texto oficial NIS2 (DOUE)

Marco legal europeo: objetivos, alcance, obligaciones y cooperación.

CCN-CERT · Directiva NIS2

Referencia nacional y normativa relacionada.

INCIBE · Qué necesitas saber

Síntesis práctica para organizaciones en España.

Glosario · Akamai

Resumen de conceptos clave.

Resumen · Formalize

Puntos prácticos para cumplimiento.

Industria · ABB

Enfoque en entornos industriales y OT.