Los requisitos y obligaciones de la NIS2 es un asunto que te interesa si estás identificando a tu empresa como una entidad que se puede ver afectada por esta Directiva Europea.
Si tu organización opera en sectores clave como energía, transporte, sanidad o telecomunicaciones, esta normativa te afecta directamente.
Pero ojo, porque algunas pymes también entran en este grupo si prestan servicios críticos.
En cualquier caso, en este artículo te voy a describir cuáles son los requisitos y obligaciones que debe satisfacer una organización para cumplir con esta Directiva Europea NIS2.
Contents
Ámbito de aplicación de la NIS2
La Directiva NIS 2 no aplica a todas las empresas, pero si tu organización está en ciertos sectores, es mejor que prestes atención.
¿Qué empresas deben cumplir con la NIS2?
La normativa en su artículo 2 y 3 distingue entre dos tipos de entidades:
- Entidades esenciales: Empresas medianas y grandes de sectores estratégicos como energía, transporte, sanidad, agua, banca y telecomunicaciones.
- Entidades importantes o críticas: Empresas medianas y grandes de otros sectores críticos.
- Entidades pequeñas: que presten servicios esenciales, importantes o críticos.
He preparado un artículo muy detallado para explicarte desde el punto de vista de la NIS2 a quien aplica; identificando:
- Cuáles son los sectores esenciales.
- Cuáles son los sectores importantes o críticos.
- Qué PYMES pequeñas pueden verse en la obligación de cumplir con la NIS2.
Si quieres informarte al detalle sobre la aplicación de la NIS2 lee ese artículo porque está muy completo.
Principales requisitos y obligaciones de la NIS2
Según el artículo 21 de la NIS2, las entidades esenciales e importantes deben tomar las medidas técnicas, operativas y de organización adecuadas y proporcionadas para gestionar los riesgos que se planteen para la seguridad de los sistemas de redes y de información que utilizan en sus operaciones diarias o en la prestación de sus servicios.
Por lo tanto, lo que se pretende es implementar una serie de requisitos y obligaciones para securizar:
- Cualquier sistema de red.
- Cualquier sistema de información.
- El entorno físico de dichos sistemas.
¿Y cómo?
Pues llevando a cabo una serie de medidas técnicas, operativas y organizativas.
Estas medidas son las que vamos a ir viendo a continuación:
- Políticas de seguridad.
- Análisis de riesgos
- Gestión de incidentes
- Plan de continuidad
- Seguridad en la cadena de suministro.
- Seguridad en la adquisición, desarrollo y el mantenimiento de sistemas de redes y de información
- Formación en ciberseguridad
Gráficamente, las medidas de seguridad a implementar serían las siguientes:
A continuación vamos a ir viendo uno a uno, estos requisitos y obligaciones de la NIS2.
Requisitos y Obligaciones en Análisis de riesgos
Es la base de cualquier análisis en seguridad de información.
Realizar un análisis de riesgos sentará las bases de lo tranquilo o intranquilo que puede quedarse el CEO de una empresa cuando se está haciendo un estudio sobre cómo de seguro son sus redes y sistemas de información.
Para realizar un análisis de riesgos puedes utilizar para Magerit o cualquier otra metodología. Lo importante es que seas capaz de identificar:
- Tus principales activos y agruparlos por categoría: hardware, software, repositorios, centros de datos, recursos humanos, etc.
- Como mínimo las 3 principales dimensiones de la seguridad por cada activo (Confidencialidad, Integridad, Disponibilidad).
- La probabilidad de que se materialicen las amenazas identificadas.
- Las consecuencias de que se materialicen las amenazas identificadas.
- El nivel de riesgo final (el que no se puede asumir y el que sí se puede asumir).
Requisitos y obligaciones en Políticas de Seguridad
Del análisis de riesgo anterior, deberás plantear un plan de acción para abordar los riesgos que no son asumibles por tu organización.
En muchas ocasiones este plan de acción incluirá la implementación de herramientas y también la adopción de políticas de empresa desde el punto de vista de la seguridad de la información.
En tu caso, deberás implementar una serie de políticas lo suficientemente robustas para abordar a los riesgos planteados en el punto anterior.
¿Y de qué políticas podemos estar hablando?
Pues políticas relacionadas con:
- el uso de puntos finales de usuarios (endpoints).
- los recursos humanos: antes del empleo, durante y después del empleo.
- la gestión de sus activos.
- la clasificación, tratamiento y manipulación de la información física y digital.
- la gestión de controles de accesos físicos y lógicos.
- el usos de la criptografía cuando sea necesaria.
- la seguridad física.
- la gestión de vulnerabilidades.
Requisitos y obligaciones relacionados con la notificación de incidentes
Según el artículo 23 de la Directiva NIS2, si ocurre un incidente de ciberseguridad en tu organización, tienes una serie de plazos claros para notificar:
- Alerta temprana: Dentro de las primeras 24 horas tras detectar el incidente.
- Informe inicial: En un máximo de 72 horas.
- Informe final: En un plazo máximo de un mes.
Requisitos y obligaciones relacionados con un plan de continuidad
Lo que pretende la NIS2 es que las organizaciones implementen un protocolo de actuación para saber cómo reaccionar ante la interrupción de alguna o de todas sus áreas de negocio y permitan la recuperación de la actividad lo más temprano posible.
¿Por qué esta necesidad?
Pues porque como hemos visto en este artículo y en otro artículo que escribí sobre a quien aplica la NIS2, esta interrupción afectará a servicios esenciales y críticos para la sociedad.
Por lo tanto, es necesario que dentro de este plan de continuidad tengas en cuenta:
- tus procesos de negocio,
- servicios que prestas
- tipos de escenarios de desastres.
- Plan de recuperación
- Simulacro de aplicación de un desastre y prueba de recuperación.
Requisitos y obligaciones relacionados con la seguridad en la cadena de suministro
Garantizar la cadena de suministro en tu organización implicaría:
- Identificar cuáles son los suministros exteriores que compra tu empresa.
- Establecer una política de evaluación inicial y periódica.
- Dentro de la política de evaluación inicial incluir requisitos que debe cumplir tu proveedor.
- Tener en cuenta la posibilidad o no de subcontratación por parte de tu proveedor.
- Documentar acuerdos por escrito.
- Controlar y limitar los accesos físicos y lógicos cuando sea necesario.
En resumen se trata de establecer un método para la selección, control y evaluación de tus proveedores.
Requisitos y obligaciones al Adquirir, Desarrollar y Mantener Sistemas de Redes y Sistemas de Información
Desde el punto de vista de sistemas de redes y sistemas de información, deberás de tener en cuenta la seguridad respecto a la cadena de suministro que te indiqué anteriormente.
Si vas a comprar algún sistema de redes o sistemas de información ten en cuenta la seguridad con la que deben trabajar tus proveedores.
Pero si en lugar de comprarla, vas a desarrollar y/o mantener sistemas de redes y/o sistemas de información, el que deberás de tener seguridad eres tú al diseñar y desarrollar esos sistemas de redes y/o sistemas de información.
Es decir, implementar métodos de seguridad a la hora de:
- Controlar de acceso y autenticación al código.
- El cifrado de datos, tanto en reposo como en tránsito.
- Desarrollo seguro de software, siguiendo principios como OWASP.
- Registro y monitoreo de actividad
- Gestión segura de API y conexiones externas.
- Actualizaciones y gestión de parches de seguridad.
Requisitos y obligaciones de formación en ciberseguridad a empleados
Está más que comprobado que los errores humanos y las acciones no intencionadas son una de las principales vulnerabilidades en la ciberseguridad de las organizaciones.
Hay muchos estudios y artículos que los respaldan. Por ejemplo, te presento este estudio que ha hecho IBM para estudiar el coste de las brechas de seguridad en el 2024.
Por lo tanto, la formación en ciberseguridad a los empleados siempre será la mejor inversión que llevan a cabo las empresas desde el punto de vista de la seguridad de sus sistemas de información y su información en general.
Y eso es justamente lo que quiere esta Directiva, por ello lo ha establecido como uno de los requisitos y obligaciones de NIS2.
Y si quieres avanzar más y conocer con todo detalle que debes hacer para cumplir con la NIS 2 he preparado este artículo Como Implementar la NIS 2 Paso a Paso. Te recomiendo su lectura.
Bien, pues hasta aquí lo que quería comentarte acerca de los requisitos y obligaciones de NIS2.
Espero que te haya ayudado a entender mejor la NIS2.
Y recuerda que si necesitas ayuda para el cumplimiento de NIS2, nosotros podemos ayudarte.
Fecha: 1 febrero 2025
Fuente Bibliográfica: Elaboración propia tras lectura de la Directiva NIS2: Directiva 2022/2555 DEL PARLAMENTO EUROPEO Y DEL CONSEJO
Fuente imagen principal: Elaboración propia usando Inteligencia Artificial
- Licenciado en Administración y Dirección de Empresas,
- Colegiado nº1498 por el colegio de economistas de Las Palmas de Gran Canaria,
- IRCA Certified ISO 9001 Lead Auditor con nº ENR-00555531
- Experto en Customer Experience Management
En mi web podrás encontrar información gratuita de mucho valor que comparto para mejorar la gestión de las empresas.
También encontrarás otros recursos como libros y otras herramientas que ofrezco al mercado para profundizar en las áreas que conozco y ayudar así a las organizaciones a ser más competitivas.
Autor del libro Como Implantar ISO 9001:2015 Paso a Paso.
Autor de la Academia Online IVE Academy