Directiva NIS 2: Requisitos de seguridad informática

¿TIENE ALGUNA PREGUNTA? PÓNGASE EN CONTACTO CON NOSOTROS

Home » Temas » Directiva NIS-2

La Directiva NIS 2 es el marco jurídico para definir criterios comunes de ciberseguridad en el territorio de la Unión Europea.

Define dos categorías para las organizaciones afectadas: entidades esenciales e importantes, dejando a cada Estado Miembro un margen de libertad para añadir otras entidades en estas categorías que puedan ser de su interés.

En esta página encontrará todo lo que necesita saber sobre NIS 2.

¿Qué es la Directiva NIS 2?

La Directiva NIS 2 de la EU («Directiva sobre seguridad de las redes y de la información») tiene por objeto reforzar la resistencia de las infraestructuras críticas (KRITIS) frente a las ciberamenazas y aumentar el nivel de ciberseguridad en la EU. La Directiva NIS 2 es la evolución de la publicada en 2016, Directiva NIS, para la seguridad de las redes y sistemas de información. Mientras que el principal objetivo de la Directiva NIS era definir criterios comunes de seguridad, principalmente para los operadores de Servicios Esenciales (OES) y para los Proveedores de Servicios Digitales (DSP), la Directiva NIS 2, mejora los requisitos de ciberseguridad para un número mayor de organizaciones, dividiéndose entre sectores esenciales e importantes.

La NIS 2 impone nuevas obligaciones y amplias medidas de seguridad a muchas empresas y organizaciones. Afecta sobre todo a las infraestructuras críticas y los servicios digitales de la UE, que deben cumplir una serie de requisitos mínimos para proteger sus propios sistemas y redes contra los ciberataques. La Directiva NIS 2 tiene mayores capacidades que si antecesora, la Directive NIS e introduce métodos más estrictos de supervisión y refuerzo para su implantación. Fomenta la cooperación entre los Estados Miembro para prevenir, contener y reaccionar frente a incidentes importantes de ciberseguridad. Incluye además, estrictos requisitos de gestión de riesgos con una lista de medidas orientadas a diferentes aspectos. Algunos ejemplos son: políticas y procedimientos para medir la efectividad de la política de riestos, prácticas mínimas de ciberseguridad y formación en este ámbito, uso de componentes criptográficos, y buenas prácticas de seguridad en los Recursos Humanos de las organizaciones, así como políticas de control de acceso y gestión de activos.

¿Cuándo la NIS 2 debe estar transpuesta a la Ley Nacional en su totalidad ?

Fecha límite: 17 de octubre de 2024

La nueva directiva de la EU entró en vigor el 16 de enero de 2023. Los Estados miembros deben transponerla a la legislación nacional a más tardar el 17 de octubre de 2024, sin periodos transitorios.

La NIS 2 se aplica a empresas con 50 o más empleados y un volumen de negocio de 10 millones de euros en 18 sectores definidos. Por tanto, los dos criterios de tamaño y sector de la empresa son decisivos para determinar si una empresa se ve afectada por la directiva. También hay algunos casos especiales.

NIS 2: Organizaciones esenciales e importantes

La NIS 2 define 18 sectores afectados en los anexos I y II de la Directiva de la UE, que pueden dividirse en instalaciones importantes y especialmente importantes o esenciales, como se indica a continuación:

Instalaciones esenciales

– Empresas con 250 empleados o más o
– Empresas con un volumen de negocios superior a 50 millones de euros y un balance superior a 43 millones de euros
– Operadores de infraestructuras críticas (operadores KRITIS)
– Casos especiales, por ejemplo, servicios de confianza cualificados, proveedores de DNS o telecomunicaciones

Sectores afectados:

Instalaciones importantes

– Empresas con 50 o más empleados o
– Empresas con un volumen de negocios superior a 10 millones de euros y un balance superior a 10 millones de euros
– Facilidades especiales, por ejemplo, servicios de confianza.

Sectores afectados:

Energía

Transporte

Banca (propio sistema de requisitos de ciberseguridad, DORA)

Infraestructuras de los mercados financieros

Sanidad

Agua potable

Aguas residuales

Infraestructuras digitales

Gestión de servicios TIC (B2B)

Administración pública, tanto a nivel nacional como regional conforme a los requisitos de cada Estado Miembro

Espacio

Servicios postales y de mensajería

Gestión de residuos

Productos químicos (producción, fabricación y comercio)

Alimentación (producción, transformación y distribución)

Industria manufacturera/producción de bienes

Proveedores de servicios digitales

Investigación

¿Necesita ayuda para implantar NIS 2?

PÓNGASE EN CONTACTO CON NOSOTROS

Requisitos NIS 2 que deben aplicar las empresas afectadas

Según la Directiva NIS 2, las empresas afectadas deben aplicar al menos las siguientes medidas para aumentar su resistencia a los ataques y prevenir en la medida de lo posible los incidentes de seguridad o minimizar su impacto.

Gestión de riesgos

Seguimiento de las medidas para minimizar los ciber riesgos

Responsabilidad de la dirección

Respecto a las entidades esenciales, la dirección debe aprobar las medidas de ciberseguridad implantadas para responder a los requisitos legales del Artículo 21, y supervisar su implantación, pudiendo responder legalmente de su incumplimiento.

Políticas

Conceptos relacionados con el análisis de riesgos y la seguridad de los sistemas de información

Gestión de incidentes

Prevención, detección, reporte y gestión de incidentes de seguridad

Compras y Gestión de la Cadena de Suministro

Medidas de seguridad para la adquisición, desarrollo y mantenimiento de redes y sistemas de información

Continuidad de Negocio

Continuidad de las actividades (como gestión de copias de seguridad y recuperación frente a desastres) y gestión de crisis

Eficacia

Conceptos y procedimientos para evaluar la eficacia de las medidas de gestión de riesgos

Cadena de suministro

Fiabilidad de la cadena de suministro

Cursos de formación

Ciber higiene y formación en el ámbito de la ciberseguridad

Criptografía

Regulaciones, conceptos y procedimientos para el uso de elementos criptográficos y, cuando sea aplicable, el cifrado de mensajes

Gestión de personal, accesos y activos

Seguridad del personal, conceptos de control de acceso y gestión de activos

Autenticación y comunicación

Uso de soluciones de autenticación multifactor o autenticación continua, comunicación segura por voz, vídeo y texto, y sistemas seguros de comunicación de emergencia cuando proceda

Gestión de riesgos

Seguimiento de las medidas para minimizar los ciber riesgos

Responsabilidad de la dirección

Políticas

Conceptos relacionados con el análisis de riesgos y la seguridad de los sistemas de información

Gestión de incidentes

Prevención, detección, reporte y gestión de incidentes de seguridad

Compras y Gestión de la Cadena de Suministro

Medidas de seguridad para la adquisición, desarrollo y mantenimiento de redes y sistemas de información

Continuidad de Negocio

Continuidad de las actividades (como gestión de copias de seguridad y recuperación frente a desastres) y gestión de crisis

Eficacia

Conceptos y procedimientos para evaluar la eficacia de las medidas de gestión de riesgos

Cadena de suministro

Fiabilidad de la cadena de suministro

Cursos de formación

Ciber higiene y formación en el ámbito de la ciberseguridad

Criptografía

Regulaciones, conceptos y procedimientos para el uso de elementos criptográficos y, cuando sea aplicable, el cifrado de mensajes

Gestión de personal, accesos y activos

Seguridad del personal, conceptos de control de acceso y gestión de activos

Autenticación y comunicación

Uso de soluciones de autenticación multifactor o autenticación continua, comunicación segura por voz, vídeo y texto, y sistemas seguros de comunicación de emergencia cuando proceda

Sanciones más estrictas

La dirección debe supervisar el cumplimiento de las medidas de seguridad informática. Si se incumplen las obligaciones, existe el riesgo de responsabilidad interna de la dirección frente a la organización.

La Directiva NIS 2 exige que los Estados Miembro definan un régimen sancionador para esta Directive, así como establecer los medios adecuados para su ejecución. Esta normativa sancionadora debe estar establecida y comunicada a la Unión Europea antes del 17 de Enero del 2025.

Establece un mínimo de sanciones administrativas respecto a un no cumplimiento de las obligaciones de gestión de riesgo e información definidas en dicha Directiva. Estas sanciones incluyen acciones obligatorias, tales como la implantación de las medidas derivadas de una auditoría de seguridad, coordinar las medidas de ciberseguridad con los requisitos de la Directiva NIS 2, así como multas económicas. Los Gobiernos de los distintos Estados Miembro pueden realizar inspecciones en esta línea.

Las sanciones administrativas pueden ser:

Para entidades esenciales, las multas económicas pueden ser hasta 10 millones de Euros o el 2% de la facturación anual, dependiendo de cual sea mayor.
Para entidades significativas o importantes, el máximo son 7 Millones de Euros o el 1.4. % de la facturación anual, dependiendo de cual sea mayor.

La aplicación de la nueva Directiva NIS 2 ofrece a los operadores de infraestructuras críticas y al sector público la oportunidad de posicionarse sólidamente en términos de seguridad informática. TÜV NORD GROUP les acompaña en este camino.

– Axel Lange, Director General de Marketing y Ventas de TÜVIT

NIS 2: Estado de aplicación

Estado de la aplicación nacional en los Estados miembros de la Unión Europea

Madrid: Transposición de la Directiva NIS 2

En España, el Centro Criptológico Nacional publicó el pasado 1 de Agosto de 2024 una página web dedicada a ayudar a las organizaciones a la implantación de NIS 2. Ha publicado así mismo una guía de implantación de NIS 2 para las entidades esenciales (Guia CCN-STIC 892).

Berlín – 06/2023: Publicado el 4º borrador de la NIS2UmsuCG

La Directiva europea NIS 2 se consagrará en la legislación nacional en Alemania con la Ley de Implementación NIS 2 y Refuerzo de la Ciberseguridad (NIS2UmsuCG) – el 24.06.2024, el 4º borrador de esta ley fue publicado por el Ministerio Federal del Interior (BMI). Algunos de los nuevos requisitos ya se han integrado en la Ley de Seguridad Informática 2.0.

Viena – 07/2024: El Consejo Nacional no aprueba por ahora las NISG 2024

Durante la votación parlamentaria en el Consejo Nacional sobre la Ley de Seguridad de los Sistemas de Información 2024 (NISG 2024) el 3 de julio de 2024, no se pudo alcanzar la mayoría necesaria de dos tercios. Por lo tanto, la ley no fue aprobada por el momento.

¿Tiene alguna pregunta? Estaremos encantados de ayudarle.

Introduzca aquí su solicitud*

Nombre / Apellidos*

Cargo*

Empresa*

País*

Teléfono

Correo electrónico*

He leído y acepto la política de privacidad, términos y condiciones.*

Por favor, consulta nuestra Política de Privacidad.

Verifique su solicitud.*

Esto también podría interesarle

AI Act

Brindamos apoyo para cumplir con el AI Act a través de evaluaciones de riesgos, auditorías y asesoría en la implementación de sistemas de IA conforme a la normativa.

Más información

Directiva RED

Ayudamos a cumplir la Directiva RED ofreciendo asesoría, evaluación de conformidad y certificación para comercializar equipos radioeléctricos.

Más información

AI Act

Brindamos apoyo para cumplir con el AI Act a través de evaluaciones de riesgos, auditorías y asesoría en la implementación de sistemas de IA conforme a la normativa.

Más información

Directiva RED

Ayudamos a cumplir la Directiva RED ofreciendo asesoría, evaluación de conformidad y certificación para comercializar equipos radioeléctricos.

Más información