La Directiva NIS2 nace de la evolución de la primera normativa europea sobre ciberseguridad, la Directiva NIS aprobada en 2016 y traspuesta en España mediante el Real Decreto-Ley 12/2018. Mientras que aquella establecía obligaciones básicas de seguridad para operadores de servicios esenciales como energía, agua y transporte, la versión revisada —NIS2—, adoptada en diciembre de 2022 y de obligado trasvase a la legislación de los Estados miembros antes del 17 de octubre de 2024, amplía tanto el alcance de las organizaciones afectadas como la profundidad de las exigencias técnicas y organizativas.
Con NIS2 entran en el ámbito de aplicación no solo los sectores tradicionales —energía, transporte, banca, salud, agua y servicios digitales— sino también industrias como la manufactura, la cadena alimentaria, la química y el correo, así como aquellas pymes cuya actividad resulte crítica para la economía o la sociedad. A estas entidades se les exige ahora implantar un programa de gestión de riesgos de ciberseguridad sobre el que pivote todo su sistema de seguridad: desde el inventario de activos y la segmentación de redes hasta el uso de cifrado robusto, controles de acceso estrictos y la realización de pruebas de penetración regulares que permitan identificar antes que los atacantes las vulnerabilidades más peligrosas.
Otro pilar fundamental de NIS2 es el refuerzo del gobierno corporativo: la alta dirección debe supervisar de forma directa la estrategia de ciberseguridad y asumir responsabilidad personal en caso de incumplimientos graves. Esta responsabilidad se extiende en cascada a la cadena de suministro, obligando a las empresas a garantizar que sus proveedores y subcontratistas también cumplan con los mismos estándares. Además, los incidentes de seguridad grave deben notificarse a la autoridad competente —el CSIRT nacional— en un plazo máximo de 24 horas desde su detección, con un margen de 72 horas para completar la información esencial, so pena de enfrentar sanciones de hasta 10 millones de euros o el 2 % de la facturación anual.
En España, la transposición de NIS2 requerirá adaptar el actual Real Decreto de Seguridad de las Redes y Sistemas de Información para incluir nuevos sectores, ajustar los umbrales de aplicación y reforzar el papel del CSIRT-ES y de la Autoridad Nacional de Ciberseguridad. Para prepararse, las organizaciones deben comenzar cuanto antes por un inventario exhaustivo de sus activos críticos, seguido de un análisis de riesgos que permita priorizar inversiones en controles técnicos y formación. La puesta en marcha de un SOC (Centro de Operaciones de Seguridad) 24×7, junto con auditorías externas y ejercicios continuos de pentesting, asegurará un nivel de vigilancia y respuesta que cumpla con los requisitos de la nueva directiva.
En Nacata Security acompañamos a tu empresa en cada paso de este proceso: evaluamos tu grado de cumplimiento, diseñamos un plan de acción a medida, desplegamos controles y procedimientos, y ofrecemos formación específica para directivos y equipos operativos. Nuestro objetivo es que ofrecer la tranquilidad de estar protegido, evitando sanciones y reforzando tu resiliencia cibernética ante las amenazas más avanzadas. ¡Contáctanos y fortalece hoy tu estrategia de ciberseguridad conforme a NIS2!