En una llamada gratuita y sin compromiso con un especialista local de Trustlinks, hablaremos sobre la probabilidad de que la Directiva NIS2 de la UE se aplique a tu organización y en qué consiste normalmente el cumplimiento con la misma. La conversación es meramente informativa y no constituye asesoramiento jurídico.
Especialista en cumplimiento normativo, Trustlinks
La Directiva NIS2 (UE) 2022/2555 es la ley actualizada de ciberseguridad de la Unión Europea. Amplía enormemente el ámbito de aplicación de la Directiva NIS original, abarcando muchos más sectores y empresas de distintos tamaños, y eleva el listón en materia de gestión de riesgos, notificación de incidentes, seguridad de la cadena de suministro y responsabilidad de la dirección. Los Estados miembros de la UE tenían que transponer la NIS2 a la legislación nacional antes del 17 de octubre de 2024, y ahora las autoridades nacionales la están aplicando de forma activa.
La NIS2 clasifica a las organizaciones afectadas en dos categorías: entidades «esenciales» e «importantes», que suelen abarcar a las empresas medianas y grandes (más de 50 empleados o más de 10 millones de euros de facturación) de los sectores que se indican a continuación. Algunos proveedores críticos están incluidos en el ámbito de aplicación independientemente de su tamaño.
El artículo 21 de la directiva establece las medidas mínimas de gestión de riesgos que toda organización incluida en su ámbito de aplicación debe aplicar, de forma proporcionada a su tamaño, su exposición y la probabilidad de que se produzcan incidentes.
Políticas sobre análisis de riesgos, seguridad de los sistemas, criptografía, control de acceso, autenticación multifactorial (MFA) y desarrollo seguro, que sean proporcionales a los riesgos a los que nos enfrentamos.
Aviso previo en un plazo de 24 horas, notificación completa del incidente en un plazo de 72 horas e informe final en el plazo de un mes a tu CSIRT nacional.
Evalúa y gestiona los riesgos de ciberseguridad en todos tus proveedores directos y prestadores de servicios, no solo en tu propio perímetro.
Los órganos de gestión deben aprobar las medidas de ciberseguridad, supervisar su aplicación y recibir formación periódica. Se aplica la responsabilidad personal.
Gestión de copias de seguridad, recuperación ante desastres y procedimientos de gestión de crisis, todos ellos sometidos a pruebas periódicas.
Procesos coordinados para recibir, clasificar y solucionar las vulnerabilidades de tus productos y servicios.
La NIS2 establece algunas de las sanciones más severas de la UE en materia de ciberseguridad, además de la responsabilidad personal de los altos directivos.
o el 2 % de la facturación anual global
o el 1,4 % de la facturación anual mundial
Los órganos de dirección pueden ser considerados responsables a título personal por las infracciones cometidas, lo que puede incluir, en casos graves, la inhabilitación temporal para ocupar cargos de dirección.
Trustlinks combina una plataforma de cumplimiento continuo con experiencia y asistencia locales, para que puedas alcanzar el cumplimiento de la NIS2 más rápido y mantenerlo a medida que tu negocio evoluciona.
Analiza tu situación actual en relación con cada artículo de la NIS2 en cuestión de días, no de meses. Un plan de corrección claro y priorizado.
La plataforma Trustlinks automatiza la recopilación de pruebas, el control y la generación de informes en todo tu entorno.
Trabaja con consultores que conozcan la legislación nacional de transposición y el organismo regulador de tu sector.
Genera la documentación que los auditores y las autoridades realmente te piden, sin tener que volver a crear hojas de cálculo cada trimestre.
Si tu organización opera en uno de los sectores esenciales o importantes que aparecen en la lista y tiene al menos 50 empleados o una facturación de 10 millones de euros, es probable que se te aplique la NIS2; además, el umbral de tamaño no se aplica a algunos proveedores críticos (por ejemplo, DNS, registros de dominios de primer nivel, administración pública). Una llamada de 15 minutos es una buena forma de comentarlo, aunque la decisión definitiva debe confirmarse con un asesor jurídico cualificado.
La NIS2 abarca muchos más sectores (unos 15 frente a 7), elimina la discrecionalidad de los Estados miembros que provocaba inconsistencias en el ámbito de aplicación de la NIS, introduce plazos más estrictos para la notificación de incidentes, exige la gestión de riesgos en la cadena de suministro y añade la responsabilidad personal de la alta dirección, con multas considerablemente más elevadas.
Una alerta temprana a tu CSIRT nacional en un plazo de 24 horas desde que te enteres de un incidente grave, una notificación del incidente en un plazo de 72 horas (que incluya una evaluación inicial) y un informe final en el plazo de un mes.
Hasta 10 millones de euros o el 2 % de la facturación anual global (lo que sea mayor) para las entidades esenciales, y hasta 7 millones de euros o el 1,4 % para las entidades importantes. Los altos directivos también pueden enfrentarse a sanciones personales, como la inhabilitación temporal para ejercer funciones directivas.
La NIS2 entró en vigor el 16 de enero de 2023, y los Estados miembros de la UE tenían que incorporarla a su legislación nacional antes del 17 de octubre de 2024. Ahora ya se está aplicando a nivel nacional en toda la UE.
La NIS2 no exige un marco específico, pero la norma ISO 27001 (y sus equivalentes) cubre la mayoría de los requisitos de gestión de riesgos de la NIS2 y facilita considerablemente la demostración del cumplimiento. Trustlinks se encarga de relacionar tus controles actuales con los artículos de la NIS2.
La configuración inicial del cumplimiento suele llevar varios meses, dependiendo del tamaño y la madurez de tu organización. La evaluación de deficiencias lleva entre 2 y 4 semanas; la corrección de las deficiencias y la recopilación de pruebas suponen la mayor inversión. Pero el cumplimiento de la NIS2 no es algo que se haga una vez y ya está: es un trabajo continuo integrado en las operaciones de tu organización. Trustlinks centraliza todo —desde la evaluación de deficiencias y el análisis de riesgos hasta la gestión de proveedores y la recopilación de pruebas— en una sola plataforma, para que mantengas el control en cada etapa.
Analizamos si es probable que tu organización entre en el ámbito de aplicación de la NIS2, comentamos el nivel de entidad que podría aplicarse, identificamos las áreas en las que suelen surgir deficiencias y esbozamos cómo podría ser una hoja de ruta realista para el cumplimiento. Se trata de una conversación informativa —no de asesoramiento jurídico— y no hay ninguna presión comercial. Para obtener una determinación vinculante de tus obligaciones, te recomendamos que consultes a un asesor jurídico cualificado.
Habla con un especialista local de Trustlinks. No hace falta que prepares nada; trae tus dudas y hablaremos de cuál es tu situación y cuáles suelen ser los siguientes pasos. Esto es solo a título informativo; no constituye asesoramiento jurídico.
Esta consulta tiene carácter informativo y no constituye asesoramiento jurídico ni establece una relación con el cliente. Para obtener una valoración vinculante de tus obligaciones, te recomendamos que consultes a un asesor jurídico cualificado.
Especialista en cumplimiento normativo, Trustlinks
¿Tienes preguntas sobre precios, marcos o sobre cómo se adapta Trustlinks a tu organización? Nuestro equipo está aquí para ayudarte a encontrar el enfoque adecuado.
→ O explora nuestras Preguntas frecuentes
¿Necesitas ayuda para utilizar la plataforma o tienes algún problema? Nuestro equipo de asistencia está listo para ayudarte.
Trustlinks valora tu privacidad. Sólo nos pondremos en contacto contigo para informarte sobre nuestras soluciones.