NIS 2 — La nueva norma de
ciberseguridad europea
Transpuesta en España en octubre de 2024, NIS 2 amplía radicalmente el ámbito de obligados y endurece las exigencias. ¿Sabe si su organización está dentro del ámbito de aplicación?
¿Qué es y a quién afecta?
NIS 2 sustituye a la directiva NIS 1 y multiplica por cuatro el número de sectores obligados. Afecta tanto a entidades esenciales (energía, transporte, banca, sanidad, infraestructuras digitales, agua, Administración Pública, espacio) como a entidades importantes (alimentación, fabricación crítica, servicios postales, química, residuos, proveedores digitales, I+D).
El umbral de aplicación: empresas medianas y grandes (más de 50 empleados o más de 10M€ de facturación) en los sectores afectados. Las sanciones alcanzan hasta 10 millones de euros o el 2 % de la facturación global anual para entidades esenciales.
🔑 Novedad clave: la alta dirección es personalmente responsable del cumplimiento. El consejo de administración debe aprobar las medidas de gestión del riesgo y puede ser declarado responsable en caso de incumplimiento.
Obligaciones principales
- Gestión del riesgo — Política documentada de ciberseguridad basada en riesgo, revisada periódicamente.
- Notificación en 24 horas — Alerta temprana al CSIRT nacional en las primeras 24h, informe detallado en 72h.
- Seguridad en la cadena de suministro — Evaluación de riesgos de proveedores y socios tecnológicos críticos.
- Continuidad del negocio — Planes de recuperación ante incidentes, backups, gestión de crisis.
- Formación y responsabilidad directiva — La dirección debe recibir formación específica y asumir responsabilidad personal.
- Cifrado y control de accesos — Uso de criptografía, autenticación multifactor y acceso basado en privilegio mínimo.
Cómo le ayudamos a cumplir con NIS 2
No es un proyecto puntual: es un programa continuo de adecuación y mejora. Adaptamos nuestra intervención al punto en el que se encuentre su organización.
Diagnóstico NIS 2
Gap analysis estructurado contra los requerimientos de la directiva. Identificamos su nivel de madurez actual, los controles ausentes y le entregamos un plan de adecuación priorizado por riesgo y coste.
Adecuación Continua
Servicio gestionado mensual: implementación progresiva de controles, revisiones de cumplimiento, actualización de políticas y recopilación automatizada de evidencias para facilitar auditorías en cualquier momento.
Gestión y Notificación de Incidentes
Protocolo de respuesta ante incidentes alineado con NIS 2: alertas al CSIRT nacional en las primeras 24h, informe técnico detallado en 72h e informe final a 30 días. Minimizamos el riesgo sancionador y el impacto operativo.
vCISO para NIS 2
CISO virtual con dedicación parcial: asumimos la responsabilidad técnica y normativa ante la dirección y reguladores. Ideal para organizaciones sin CISO interno que necesitan cubrir la responsabilidad directiva que exige la directiva.
Formación para Dirección y Equipos
NIS 2 exige que el consejo de administración reciba formación específica en ciberseguridad. Diseñamos programas adaptados para la alta dirección, mandos intermedios y equipos técnicos, con certificación de asistencia para acreditar el cumplimiento.
Seguridad en la Cadena de Suministro
NIS 2 le obliga a evaluar el riesgo de sus proveedores y socios tecnológicos. Realizamos auditorías de seguridad a terceros críticos, definimos cláusulas contractuales de cumplimiento y establecemos procesos de revisión continua del riesgo de la cadena de suministro.
¿Su empresa está dentro del ámbito de NIS 2?
Realice el diagnóstico inicial con nosotros y conozca su situación real en 48 horas.
Solicitar Diagnóstico NIS 2 Gratuito