El cumplimiento con la NIS2, explicado en 15 minutos

Consulta gratuita de 15 minutos

En una llamada gratuita y sin compromiso con un especialista local de Trustlinks, hablaremos sobre la probabilidad de que la Directiva NIS2 de la UE se aplique a tu organización y en qué consiste normalmente el cumplimiento con la misma. La conversación es meramente informativa y no constituye asesoramiento jurídico.

Maria Boboc, Territory Manager.

Maria Boboc

Especialista en cumplimiento normativo, Trustlinks

Telefon: +34 900 752 496
maria.boboc@trustlinks.com

LA DIRECTIVA NIS2 EN POCAS PALABRAS

¿Qué es la Directiva NIS2?

La Directiva NIS2 (UE) 2022/2555 es la ley actualizada de ciberseguridad de la Unión Europea. Amplía enormemente el ámbito de aplicación de la Directiva NIS original, abarcando muchos más sectores y empresas de distintos tamaños, y eleva el listón en materia de gestión de riesgos, notificación de incidentes, seguridad de la cadena de suministro y responsabilidad de la dirección. Los Estados miembros de la UE tenían que transponer la NIS2 a la legislación nacional antes del 17 de octubre de 2024, y ahora las autoridades nacionales la están aplicando de forma activa.

¿A QUIÉN SE APLICA?

¿Se aplica la NIS2 a tu organización?

La NIS2 clasifica a las organizaciones afectadas en dos categorías: entidades «esenciales» e «importantes», que suelen abarcar a las empresas medianas y grandes (más de 50 empleados o más de 10 millones de euros de facturación) de los sectores que se indican a continuación. Algunos proveedores críticos están incluidos en el ámbito de aplicación independientemente de su tamaño.

Entidades esenciales Máxima supervisión y multas más severas
Entidades importantes Supervisión basada en el riesgo, medidas coercitivas tras un incidente
QUÉ EXIGE LA NIS2

Los seis pilares del cumplimiento de la NIS2

El artículo 21 de la directiva establece las medidas mínimas de gestión de riesgos que toda organización incluida en su ámbito de aplicación debe aplicar, de forma proporcionada a su tamaño, su exposición y la probabilidad de que se produzcan incidentes.

Medidas de gestión de riesgos

Políticas sobre análisis de riesgos, seguridad de los sistemas, criptografía, control de acceso, autenticación multifactorial (MFA) y desarrollo seguro, que sean proporcionales a los riesgos a los que nos enfrentamos.

Notificación de incidencias (24 h / 72 h / 1 mes)

Aviso previo en un plazo de 24 horas, notificación completa del incidente en un plazo de 72 horas e informe final en el plazo de un mes a tu CSIRT nacional.

Seguridad de la cadena de suministro

Evalúa y gestiona los riesgos de ciberseguridad en todos tus proveedores directos y prestadores de servicios, no solo en tu propio perímetro.

Gobernanza y rendición de cuentas

Los órganos de gestión deben aprobar las medidas de ciberseguridad, supervisar su aplicación y recibir formación periódica. Se aplica la responsabilidad personal.

Continuidad empresarial

Gestión de copias de seguridad, recuperación ante desastres y procedimientos de gestión de crisis, todos ellos sometidos a pruebas periódicas.

Gestión y divulgación de vulnerabilidades

Procesos coordinados para recibir, clasificar y solucionar las vulnerabilidades de tus productos y servicios.

EL COSTE DE LA INACCIÓN

Sanciones por incumplimiento

La NIS2 establece algunas de las sanciones más severas de la UE en materia de ciberseguridad, además de la responsabilidad personal de los altos directivos.

Entidades esencialesHasta 10 000 000 de euros

o el 2 % de la facturación anual global

Entidades importantesHasta 7 000 000 de euros

o el 1,4 % de la facturación anual mundial

Los órganos de dirección pueden ser considerados responsables a título personal por las infracciones cometidas, lo que puede incluir, en casos graves, la inhabilitación temporal para ocupar cargos de dirección.

PREGUNTAS FRECUENTES

Preguntas sobre NIS2 y sus respuestas

¿Se aplica la NIS2 a mi empresa?

Si tu organización opera en uno de los sectores esenciales o importantes que aparecen en la lista y tiene al menos 50 empleados o una facturación de 10 millones de euros, es probable que se te aplique la NIS2; además, el umbral de tamaño no se aplica a algunos proveedores críticos (por ejemplo, DNS, registros de dominios de primer nivel, administración pública). Una llamada de 15 minutos es una buena forma de comentarlo, aunque la decisión definitiva debe confirmarse con un asesor jurídico cualificado.

La NIS2 abarca muchos más sectores (unos 15 frente a 7), elimina la discrecionalidad de los Estados miembros que provocaba inconsistencias en el ámbito de aplicación de la NIS, introduce plazos más estrictos para la notificación de incidentes, exige la gestión de riesgos en la cadena de suministro y añade la responsabilidad personal de la alta dirección, con multas considerablemente más elevadas.

Una alerta temprana a tu CSIRT nacional en un plazo de 24 horas desde que te enteres de un incidente grave, una notificación del incidente en un plazo de 72 horas (que incluya una evaluación inicial) y un informe final en el plazo de un mes.

Hasta 10 millones de euros o el 2 % de la facturación anual global (lo que sea mayor) para las entidades esenciales, y hasta 7 millones de euros o el 1,4 % para las entidades importantes. Los altos directivos también pueden enfrentarse a sanciones personales, como la inhabilitación temporal para ejercer funciones directivas.

La NIS2 entró en vigor el 16 de enero de 2023, y los Estados miembros de la UE tenían que incorporarla a su legislación nacional antes del 17 de octubre de 2024. Ahora ya se está aplicando a nivel nacional en toda la UE.

La NIS2 no exige un marco específico, pero la norma ISO 27001 (y sus equivalentes) cubre la mayoría de los requisitos de gestión de riesgos de la NIS2 y facilita considerablemente la demostración del cumplimiento. Trustlinks se encarga de relacionar tus controles actuales con los artículos de la NIS2.

La configuración inicial del cumplimiento suele llevar varios meses, dependiendo del tamaño y la madurez de tu organización. La evaluación de deficiencias lleva entre 2 y 4 semanas; la corrección de las deficiencias y la recopilación de pruebas suponen la mayor inversión. Pero el cumplimiento de la NIS2 no es algo que se haga una vez y ya está: es un trabajo continuo integrado en las operaciones de tu organización. Trustlinks centraliza todo —desde la evaluación de deficiencias y el análisis de riesgos hasta la gestión de proveedores y la recopilación de pruebas— en una sola plataforma, para que mantengas el control en cada etapa.

Analizamos si es probable que tu organización entre en el ámbito de aplicación de la NIS2, comentamos el nivel de entidad que podría aplicarse, identificamos las áreas en las que suelen surgir deficiencias y esbozamos cómo podría ser una hoja de ruta realista para el cumplimiento. Se trata de una conversación informativa —no de asesoramiento jurídico— y no hay ninguna presión comercial. Para obtener una determinación vinculante de tus obligaciones, te recomendamos que consultes a un asesor jurídico cualificado.

LISTO CUANDO TÚ LO ESTÉS

Entiende bien qué es la NIS2 en 15 minutos, gratis.

Habla con un especialista local de Trustlinks. No hace falta que prepares nada; trae tus dudas y hablaremos de cuál es tu situación y cuáles suelen ser los siguientes pasos. Esto es solo a título informativo; no constituye asesoramiento jurídico.

Esta consulta tiene carácter informativo y no constituye asesoramiento jurídico ni establece una relación con el cliente. Para obtener una valoración vinculante de tus obligaciones, te recomendamos que consultes a un asesor jurídico cualificado.

Maria Boboc, Territory Manager.

Maria Boboc

Especialista en cumplimiento normativo, Trustlinks

Telefon: +34 900 752 496
maria.boboc@trustlinks.com

Logotipo Trustlinks blanco.

Habla con Ventas

¿Tienes preguntas sobre precios, marcos o sobre cómo se adapta Trustlinks a tu organización? Nuestro equipo está aquí para ayudarte a encontrar el enfoque adecuado.

→ O explora nuestras Preguntas frecuentes

Obtén asistencia para el producto

¿Necesitas ayuda para utilizar la plataforma o tienes algún problema? Nuestro equipo de asistencia está listo para ayudarte.

Contacta con nosotros

Solicita una reunión

Envíanos un mensaje y nuestro equipo se pondrá en contacto contigo en breve.