NIS 2: Lo que las empresas necesitan saber sobre la nueva directiva de ciberseguridad

1. ¿Qué es la directiva NIS 2?

La Directiva NIS 2 (Seguridad de las Redes y de la Información 2) es un texto europeo adoptado para reforzar la ciberseguridad de las entidades públicas y privadas en Europa. Sustituye a la directiva NIS 1 de 2016 y amplía considerablemente el ámbito de aplicación de las entidades afectadas, al tiempo que impone requisitos más estrictos en términos de seguridad de los sistemas de información.

2. ¿Cuáles son las diferencias entre NIS 1 y NIS 2?

3. ¿Por qué la directiva NIS 2 es estratégica para la UE?

• Aumento de los ciberataques dirigidos a pymes y cadenas de subcontratación
• Normalización de la ciberseguridad en todos los Estados miembros
• Creación de una red europea de gestión de crisis (CyCLONe)
• Asegurar el tejido económico y los servicios esenciales

4. ¿Mi negocio se ve afectado por NIS 2?

✔️ Te preocupa si:

• Usted pertenece a uno de los 18 sectores enumerados en los Apéndices I y II (por ejemplo: salud, energía, digital, telecomunicaciones, agua, finanzas, administración pública, etc.)
• Su negocio supera los siguientes umbrales:
  • ≥ 50 empleados
  • O > 10 millones € volumen de negocios o balance anual
• Usted proporciona un servicio crítico (incluso por debajo de los umbrales, previa designación del Estado)

5. ¿Qué pasa si mi empresa es multinacional o tiene múltiples personas jurídicas?

Cada entidad se evalúa por separado según:

• Su lugar de establecimiento (filial, sucursal, oficina)
• Su gobernanza en materia de ciberseguridad (establecimiento principal)
• El sector en cuestión
• El país en el que presta servicios

El grupo no se considera legalmente una entidad única.

6. ¿Las autoridades locales se ven afectadas por el NIS 2?

Sí, potencialmente. Cada Estado miembro puede optar por incluir determinadas comunidades en el ámbito de aplicación del NIS 2. En Francia, este alcance se está definiendo actualmente, pero la ANSSI recomienda encarecidamente que las comunidades se preparen ahora.

7. ¿Cómo registrarse como entidad regulada por NIS 2?

• Ir al portal Mi espacio NIS 2 (ANSSI)
• Proporcionar la información obligatoria:
  • Nombre, datos de contacto, direcciones IP expuestas
  • Sector y subsector de actividad
  • Estados miembros atendidos
• Informe cualquier cambio dentro de 2 semanas a 3 meses dependiendo de su estado

8. ¿Cuáles son las nuevas obligaciones de ciberseguridad impuestas por el NIS 2?

Las entidades esenciales e importantes deben aplicar los siguientes 10 pilares (artículo 21):

1. Análisis de riesgos y seguridad informática
2. Gestión de incidentes
3. Continuidad de actividades (backups, recuperación)
4. Seguridad de la cadena de suministro
5. Seguridad en el desarrollo de software
6. Evaluación de la eficacia de las medidas
7. Ciberhigiene y formación de empleados
8. Uso de criptografía
9. Seguridad de los recursos humanos
10. Sistemas de autenticación sólidos y comunicación seguros

Los líderes son legalmente responsables de la implementación.

9. ¿Qué sistemas de información se ven afectados por NIS 2?

Se ven afectados todos los SI de la entidad, no sólo aquellos vinculados a servicios críticos. La exclusión parcial es posible si un análisis de riesgos demuestra que ciertos sistemas no tienen un impacto potencial en las actividades.

10. ¿Cómo saber si un incidente es “significativo” y necesita ser denunciado?

Un incidente se considera significativo si:

• Interrumpe gravemente los servicios
• Causa de importantes pérdidas financieras
• Afecta a terceros (clientes, socios...)

La ANSSI publicará un decreto especificando los criterios y el procedimiento de declaración.

11. ¿Puede usted elegir libremente su proveedor de servicios para cumplir?

Sí. Las entidades reguladas son libres de elegir su proveedor de servicios de ciberseguridad. Se recomienda elegir un proveedor de servicios con experiencia en regulaciones NIS 2, gestión de riesgos y auditorías de seguridad de TI.

12. ¿Cómo se relaciona NIS 2 con GDPR, DORA y CRA?

• NIS 2 y RGPD: obligaciones adicionales (protección de datos vs seguridad del sistema)
• NIS 2 Y DORA: Prima DORA para entidades financieras (lex specialis)
• NIS 2 y CRA: NIS 2 se dirige a los operadores de servicios, la CRA se ocupa de los productos digitales vendidos en el mercado

13. ¿Cuáles son los umbrales financieros y de fuerza laboral que debemos recordar?

Las empresas que superen uno de los tres umbrales estarán potencialmente reguladas por el NIS 2.

14. ¿Qué sectores se ven afectados por el NIS 2?

Anexo I – Entidades esenciales (sectores altamente críticos)

1. Energía:
   • Electricidad (producción, transporte, distribución)
   • Calefacción y refrigeración urbanas
   • Petróleo (producción, refinación, almacenamiento, transporte)
   • Gas (suministro, transporte, distribución, almacenamiento)
   • Hidrógeno
2. Transporte:
   • Aéreo
   • Ferrocarril
   • Marítimo y fluvial
   • Camino
3. Banco: Entidades de crédito
4. Infraestructuras del mercado financiero:
   • Operadores de plataformas comerciales
   • Contrapartes centrales
5. Salud :
   • Proveedores de atención
   • Laboratorios de referencia de la UE
   • Fabricantes de dispositivos esenciales y medicamentos
6. Agua potable
7. Aguas residuales
8. Infraestructura digital:
   • Proveedores de puntos de intercambio de Internet, DNS, nube, etc.
9. Gestión de servicios TIC: MSP, MSSP
10. Administración pública central
11. Espacio: Operadores de servicios relacionados con el espacio

Anexo II – Entidades importantes (sectores críticos)

1. Servicios postales y marítimos
2. Gestión de residuos
3. Productos químicos
4. Agroalimentación
5. Fabricación (equipos médicos, informática, vehículos, etc.)
6. Proveedores digitales (mercados, motores de búsqueda, redes sociales)
7. Organizaciones de investigación