NIS vs NIS2: Principales Diferencias y Cambios Afectan a Tu Empresa

por | ISO 27001 | 0 Comentarios

imagen principal NIS y NIS2

En este artículo te voy a detallar las diferencias entre la NIS y NIS2. Ambas normativas europeas que regulan la ciberseguridad en los países de la Unión Europea.

Qué cambios ha introducido la NIS2 respecto a la NIS anterior y una comparativa de los aspectos que tenía una NIS y la otra.

Si en tu organización ya te aplicaba la NIS tienes que leer este artículo para que veas los cambios y diferencias introducidas en con la NIS2.

Te dejo con el artículo.

Contents

Desde la NIS hacia la NIS2 y por qué esta evolución

En 2016, la Unión Europea aprobó la Directiva (UE) 2016/1148, conocida como la Directiva NIS, con el propósito de establecer una serie de acuerdos que debían cumplir las empresas de la Unión Europea respecto a la seguridad de las redes y sistemas de información.

Con el paso de los años, dada la evolución constante del entorno digital y el aumento de las amenazas cibernéticas han evidenciado la necesidad de actualizar esta normativa.

El Centro de Quejas de Delitos en Internet (IC3) del FBI publicó en 2020 un informe detallado sobre los delitos cibernéticos reportados durante ese año. Y las cifras del incremento fueron alucinantes:

  • 2016: 298.728 quejas recibidas, con pérdidas reportadas superiores a $1.3 mil millones.
  • 2020: 791.790 quejas recibidas, con pérdidas reportadas que exceden los $4.2 mil millones.

Te dejo el informe por si quieres echarte un vistazo Internet Crime Report 2020.

Si nos vamos a Europa, el Informe Anual sobre Incidentes de Seguridad en Servicios de Confianza 2023 de ENISA, se observó que en 2023 se reportaron un total de 63 incidentes en servicios esenciales, lo que representa un aumento del 80% en comparación con los 35 incidentes reportados en 2022.

Te dejo el informe de ENISA por si quieres leerlo

Informe ENISA Incidentes servicios de confianza 2023

Estos son dos ejemplos de la evolución de los ataques cibernéticos durante los últimos años y el principal motivo por el cual surge la Directiva NIS2, diseñada para abordar las limitaciones que tenía la NIS inicial.

¿Qué cambia con la Directiva NIS2 respecto a la NIS?

La Directiva NIS2 (2022/2555) supone, frente a la Directiva NIS (2016/1148) un aumento en la ciberseguridad en la Unión Europea con mayor alcance, requisitos más estrictos y sanciones más severas.

A continuación, te presento los principales cambios introducidos por NIS2 a diferencia con la NIS

Ampliación de sectores y empresas obligadas

Una de las diferencias más relevantes es la expansión del ámbito de aplicación.

Mientras que la NIS original solo afectaba a operadores de servicios esenciales y algunos proveedores de servicios digitales, la NIS2 amplía la lista de sectores regulados y afecta a muchas más empresas.

Concretamente:

  • Se añaden nuevos sectores críticos e importantes, incluyendo servicios postales, fabricación de productos esenciales (químicos, médicos, electrónicos), gestión de residuos y aguas residuales, y la industria alimentaria (Anexo I y II).
  • Se reducen los umbrales de tamaño de las empresas obligadas a cumplir la norma. La NIS2 incluye a muchas medianas empresas (más de 50 empleados o 10 millones de euros de facturación), cuando antes solo aplicaba a grandes empresas.
  • Se incluye un mayor control sobre la cadena de suministro: ahora las empresas afectadas deben asegurarse de que sus proveedores también cumplan con los requisitos de ciberseguridad (párrafo 85 NIS2)

Nuevos requisitos de seguridad y gestión de riesgos

La NIS2 en el artículo 21 establece normas más estrictas en cuanto a las medidas de ciberseguridad a diferencia de la NIS antecesora.

Concretamente:

  • Existe mayor exigencia en la gestión de riesgos: Las empresas deben aplicar controles específicos de ciberseguridad, como la gestión de vulnerabilidades, uso obligatorio de criptografía y controles de acceso más rigurosos.
  • Se exigen planes de continuidad y recuperación: Las empresas deben contar con protocolos claros para responder ante incidentes, garantizando la operatividad del negocio en caso de un ataque.
  • Existe supervisión más estricta: Los organismos reguladores pueden realizar auditorías y requerir pruebas de cumplimiento de manera más frecuente.

Si quieres saber más sobre los pasos a dar para cumplir con los requisitos de seguridad de la NIS2 he preparado este artículo que no deberías dejar de leer Como implementar la Directiva NIS2: El Paso a Paso Práctico

Endurecimiento de las sanciones y mayor supervisión.

Con la NIS original, las sanciones variaban entre los Estados miembros de la Unión Europea, lo que generaba diferencias en su implementación y tomárselo enserio los diferentes países.

En el artículo 33 se unifican los criterios y sanciones de la NIS2 mucho más elevadas para las empresas que no cumplan.

Concretamente:

  • Se establecerán sanciones más severas: multas de hasta 10 millones de euros o el 2% del volumen de negocio anual, lo que sea mayor.
  • Responsabilidad de la alta dirección: Los directivos pueden ser considerados personalmente responsables si la empresa no cumple con las medidas de seguridad exigidas.
  • Supervisión activa: Las entidades reguladoras tendrán mayor poder para inspeccionar y sancionar a las empresas.

Mayor cooperación entre los Estados miembros

El NIS original dejaba la cooperación entre países como una opción, mientras que el NIS2 la convierte en un requisito obligatorio.

Concretamente:

  • Se establece una coordinación obligatoria entre los Estados miembros para compartir información sobre amenazas y ciberataques.
  • Se crea la Red Europea de CSIRT para gestionar incidentes transfronterizos de manera más rápida y eficaz.
  • ENISA (Agencia Europea de Ciberseguridad) asume un papel más activo en la coordinación y supervisión de la ciberseguridad en la UE.

Diferencias entre NIS y NIS2: Cara a cara ambas Directivas

Gráficamente las principales diferencias entre NIS y NIS2 que te he descrito se resumen en esta tabla:

Diferencia entre NIS y NIS2.

Bueno, espero que te haya quedado clara las principales diferencias entre NIS y NIS2.

Y recuerda que si necesitas ayuda para el cumplimiento de NIS2, nosotros podemos ayudarte.

Fecha : 17 de febrero de 2025

Fuente Bibliográfica: Elaboración propia tras lectura de la Directiva NIS2: Directiva 2022/2555 DEL PARLAMENTO EUROPEO Y DEL CONSEJO y Directiva NIS 2016/1148.

Fuente imagen principal: Elaboración propia usando Inteligencia Artificial.

Enviar comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Ive Consultores te informa que los datos de carácter personal que me proporciones rellenando el presente formulario serán tratados por Iván Torres como responsable de esta web.

Finalidad de la recogida y tratamiento de los datos personales: gestión de los comentarios que realizas en este blog.

Legitimación: Consentimiento del interesado. El hecho de que no introduzcas los datos de carácter personal que aparecen en el formulario como obligatorios podrá tener como consecuencia que no atender pueda tu solicitud.

Derechos de acceso: podrás rectificar, limitar y suprimir los datos en ivan.torres@iveconsultores.com así como el derecho a presentar una reclamación ante una autoridad de control.

Información adicional: la encontrars en mi página web: http://www.iveconsultores.com, así como consultar mi política de privacidad.