La Directiva NIS (acrónimo de Network and Information Security), promulgada en 2016, marcó el primer esfuerzo a nivel de la Unión Europea para establecer un marco de ciberseguridad común, centrándose en la protección de las infraestructuras críticas. Sin embargo, en el corto tiempo transcurrido desde su implementación, el panorama de amenazas ha evolucionado drásticamente, con el crimen organizado y los ataques de estado patrocinados volviéndose más sofisticados, frecuentes y con un impacto transfronterizo. El principal problema de la directiva NIS original fue su aplicación inconsistente entre los estados miembros y un ámbito de aplicación demasiado restrictivo, dejando fuera a muchas organizaciones esenciales para la economía y la sociedad.
Las consecuencias de estas deficiencias se han materializado en incidentes a gran escala que han demostrado la vulnerabilidad de las cadenas de suministro y la interrupción de servicios básicos. La fragmentación regulatoria y la falta de estándares armonizados dificultaron la cooperación transfronteriza y permitieron a muchas empresas clave operar con una seguridad insuficiente. Esta situación exigía una reforma radical que estandarizara los requisitos y ampliara el perímetro de protección.
La nueva directiva NIS2 (Directiva UE 2022/2555) llega para abordar estas carencias. Este artículo está dedicado a analizar exhaustivamente las diferencias clave entre NIS y NIS2, detallando cómo la nueva normativa expande significativamente el alcance, refuerza los requisitos de gestión de riesgos, introduce un régimen sancionador más estricto y, lo que es fundamental, impone la responsabilidad directa a la alta dirección. Comprender y adaptarse a NIS2 es un imperativo legal y estratégico que puede gestionar con el apoyo de nuestro servicio NIS2.
La directiva NIS2 es una legislación de la Unión Europea que reemplaza a la Directiva NIS original con el objetivo de lograr un alto nivel común de ciberseguridad en toda la UE. Sus cambios fundamentales radican en la ampliación del ámbito de aplicación a más sectores y empresas (medianas y grandes), la armonización de los requisitos de gestión de riesgos e incidentes, y el endurecimiento del régimen sancionador y de la responsabilidad ejecutiva.
1. Expansión y armonización: El cambio en el ámbito de aplicación de NIS2
La diferencia más notable y que afecta a un mayor número de empresas es el cambio en el ámbito de aplicación. La Directiva NIS original se centraba en la identificación de Operadores de Servicios Esenciales (OSE) y Proveedores de Servicios Digitales (PSD). La NIS2 abandona esta clasificación subjetiva y adopta un enfoque basado en el tamaño y el sector, lo que resulta en un aumento significativo de las entidades obligadas.
De la clasificación subjetiva a los umbrales de tamaño
NIS2 introduce un principio de «talla y efecto» (size-cap rule). Esto implica que la directiva se aplica, en general, a:
Empresas medianas: Aquellas con 50 o más empleados y una facturación anual o un balance general de al menos 10 millones de euros.
Grandes empresas: Aquellas con 250 o más empleados y una facturación superior a 50 millones de euros o un balance general superior a 43 millones de euros.
Esta regla se aplica si la empresa opera en alguno de los sectores cubiertos.
La nueva categorización: Entidades esenciales y entidades importantes
La NIS2 crea una nueva distinción entre dos categorías que sustituyen a los OSE y PSD:
Entidades Esenciales (EE): Sujetas a un régimen de supervisión proactivo y con sanciones más severas. Incluyen sectores de alta criticidad como energía (electricidad, gas, petróleo), transporte, banca, infraestructuras de mercados financieros, sanidad, agua (potable y residual) e infraestructura digital (proveedores de DNS, cloud computing).
Entidades Importantes (IE): Sujetas a un régimen de supervisión reactiva (solo tras un incidente). Abarcan otros sectores críticos como servicios postales y de mensajería, gestión de residuos, fabricación (ciertos productos críticos), proveedores de servicios digitales más amplios (motores de búsqueda, mercados en línea), y entidades de investigación.
La expansión sectorial de NIS2 es masiva, incorporando a miles de empresas que anteriormente estaban fuera del alcance regulatorio, especialmente en fabricación y la cadena de suministro digital.
2. Requisitos de seguridad: Obligaciones más estrictas y detalladas en NIS2
Mientras que NIS1 ofrecía directrices amplias, NIS2 detalla un conjunto de requisitos mínimos de ciberseguridad de obligado cumplimiento, poniendo un fuerte énfasis en un enfoque de gestión de riesgos.
La gestión de riesgos de ciberseguridad es obligatoria
El artículo 21 de NIS2 exige a las entidades la implementación de un conjunto de medidas técnicas, operativas y organizativas basado en un enfoque all-hazards (todos los peligros). Estas medidas deben incluir:
Análisis y evaluación de riesgos: Realización periódica y documentada de evaluaciones de riesgos.
Gestión de incidentes: Procedimientos para la prevención, detección, análisis y contención de incidentes.
Gestión de la continuidad del negocio: Sistemas de copias de seguridad, planes de recuperación ante desastres y gestión de crisis.
Seguridad de la cadena de suministro: Abordar los riesgos asociados a los proveedores y la cadena de valor de las TIC, algo que NIS1 no cubría adecuadamente.
Controles de acceso: Implementación de políticas de control de acceso sólidas y el uso de autenticación multifactor (MFA) para reforzar la protección de la identidad.
Cifrado: Uso de cifrado y criptografía cuando sea apropiado para proteger la confidencialidad de los datos.
Seguridad en la cadena de suministro: Un foco de la NIS2
Una lección clave de los fallos de NIS fue la vulnerabilidad introducida por los proveedores externos (ej. ataques a través de software de terceros). NIS2 obliga a las entidades esenciales e importantes a evaluar los riesgos de sus proveedores de servicios TIC, especialmente aquellos que proporcionan servicios gestionados o acceso a datos.
3. Notificación y colaboración: Nuevos plazos y protocolos armonizados
La NIS original carecía de protocolos de notificación de incidentes claros, lo que resultaba en información incompleta y plazos inconsistentes. NIS2 introduce un mecanismo de notificación en tres fases con plazos estrictos y armonizados en toda la UE:
Alerta Temprana (24 horas): Notificación de los incidentes significativos a las autoridades competentes (CSIRT nacional) en un plazo de 24 horas desde que la entidad tiene conocimiento. Esta notificación se centra en indicar el carácter transfronterizo o el impacto potencial.
Notificación de Actualización (72 horas): Presentación de una actualización de la información inicial con una evaluación preliminar de la gravedad y la causa probable, en un plazo de 72 horas.
Informe Final (1 mes): Entrega de un informe detallado que documente el incidente, la causa raíz, el impacto y las medidas correctivas aplicadas, en un plazo de un mes desde la notificación de 72 horas.
Este sistema exige una capacidad de detección y respuesta a incidentes (MDR) mucho más madura y rápida que la requerida por NIS.
4. Gobernanza y responsabilidad ejecutiva: El gran cambio de NIS2
Quizás la diferencia más significativa a nivel corporativo y directivo es la responsabilidad directa que NIS2 impone a los órganos de administración (consejos, gerencia).
Responsabilidad de la alta dirección
El artículo 20 de la directiva establece que los miembros de los órganos de administración de las entidades esenciales e importantes deben seguir capacitación en ciberseguridad y son personalmente responsables del incumplimiento de las obligaciones de gestión de riesgos. Esto significa que la ciberseguridad deja de ser una tarea delegada únicamente al departamento de IT para convertirse en una responsabilidad ejecutiva auditada y sancionable.
Requisitos de formación
Se exige que la dirección participe en programas de formación que le permitan obtener suficiente conocimiento de los riesgos y su impacto en la gestión de la empresa. Además, deben impulsar la concienciación y la formación sistemática de sus empleados para reducir el riesgo humano.
5. Régimen sancionador y supervisión: Multas disuasorias
La NIS1 permitía a los estados miembros establecer sus propios regímenes sancionadores, lo que generó disparidad. La NIS2 armoniza y endurece las sanciones para garantizar el cumplimiento.
Las sanciones máximas por incumplimiento ahora se dividen según la categoría de la entidad:
Entidades Esenciales (EE): Multas de hasta 10 millones de euros o hasta el 2% de la facturación global anual de la empresa (la cifra que sea mayor).
Entidades Importantes (IE): Multas de hasta 7 millones de euros o hasta el 1.4% de la facturación global anual de la empresa.
Este régimen sancionador, similar al del RGPD, subraya la seriedad con la que la UE aborda la ciberseguridad de las infraestructuras críticas.
| Característica | Directiva NIS (NIS1) | Directiva NIS2 |
| Ámbito de Aplicación | OSE (Operadores de Servicios Esenciales) y PSD (Proveedores de Servicios Digitales) | Regla de tamaño: Empresas medianas y grandes en sectores críticos (Entidades Esenciales e Importantes) |
| Sectores Cubiertos | Limitados (Ej. Energía, Transporte, Sanidad) | Expandidos a 15 sectores (Incluye: Gestión de residuos, Fabricación crítica, Servicios postales) |
| Clasificación | OSE y PSD | Entidades Esenciales (EE) y Entidades Importantes (IE) |
| Requisitos de Seguridad | Principios generales y poco detallados | Detallados y obligatorios (MFA, Cifrado, Gestión de la Cadena de Suministro) |
| Plazos de Notificación | Vagos e inconsistentes | Estrictos y armonizados (24, 72 horas y 1 mes) |
| Responsabilidad Ejecutiva | Implícita o nula | Explícita y personal para la alta dirección |
| Régimen Sancionador | Dispar e insuficiente | Severo y armonizado (Hasta 10M€ o 2% de la facturación global) |
Preguntas Frecuentes sobre NIS2
¿Cuál es la fecha límite para la transposición e implementación de NIS2?
La Directiva NIS2 entró en vigor en enero de 2023. Los Estados miembros de la UE tienen como fecha límite el 17 de octubre de 2024 para transponer la directiva a su legislación nacional. Las entidades afectadas deben estar preparadas para cumplir con los nuevos requisitos en su totalidad a partir de esta fecha o tan pronto como la transposición nacional entre en vigor.
¿Afecta NIS2 a empresas que no estaban obligadas por la directiva NIS original?
Sí, la NIS2 afecta a muchas más empresas. Gracias a la inclusión de los umbrales de tamaño (medianas y grandes) y la ampliación de los sectores (ej. fabricación crítica, gestión de residuos), miles de organizaciones que no eran OSE o PSD bajo NIS1 se convierten en Entidades Esenciales o Importantes bajo NIS2 y deben iniciar su proceso de adecuación.
¿Qué implica la seguridad de la cadena de suministro en NIS2?
La seguridad de la cadena de suministro implica que las entidades obligadas deben evaluar y mitigar los riesgos cibernéticos derivados de sus proveedores y prestadores de servicios. Esto incluye asegurar que los proveedores de servicios TIC, cloud computing o servicios gestionados implementen controles de ciberseguridad equivalentes a los exigidos por NIS2 para proteger los datos y la continuidad del servicio de la entidad principal.
La NIS2 es más que una actualización; es una declaración de que la ciberseguridad es ahora un asunto de alta gobernanza con consecuencias financieras y legales significativas. La preparación no es una opción, sino una obligación. Si su organización opera en sectores críticos o se ajusta a los nuevos umbrales de tamaño, debe comenzar de inmediato el proceso de diagnóstico y adecuación. Nuestros expertos en NIS2 le ofrecen la consultoría especializada y las herramientas necesarias para asegurar el cumplimiento, reducir el riesgo y transformar este requisito legal en un activo estratégico para la continuidad de su negocio.
