Estado actual de la Directiva NIS2: Claves para entender su impacto y cómo prepararse adecuadamente

En un contexto global marcado por la creciente digitalización de servicios y la sofisticación de las amenazas informáticas, la Unión Europea ha reforzado su marco normativo en materia de ciberseguridad con la aprobación de la Directiva NIS2. Esta nueva regulación, adoptada en 2022, sustituye a la anterior Directiva NIS1 con el objetivo de establecer un nivel común elevado de ciberseguridad en todos los Estados miembros, especialmente en sectores considerados estratégicos.

La Directiva (UE) 2022/2555, conocida como NIS2, regula la seguridad de las redes y los sistemas de información en el ámbito de la Unión Europea. Su finalidad es mejorar la resiliencia y capacidad de respuesta ante incidentes cibernéticos de las entidades públicas y privadas que prestan servicios considerados esenciales o importantes para la sociedad y la economía.

Esta directiva armoniza los requisitos en materia de ciberseguridad, define criterios comunes de gestión de riesgos y establece mecanismos de supervisión más estrictos, con sanciones proporcionales en caso de incumplimiento.

• Asegurar un nivel común elevado de ciberseguridad en todos los Estados miembros.
• Reforzar la protección de sectores críticos ante amenazas y ciberataques.
• Establecer procedimientos eficaces de prevención, detección y notificación de incidentes.
• Garantizar una respuesta coordinada a nivel europeo en materia de ciberseguridad.
• Ampliar la responsabilidad de las organizaciones en cuanto al control de sus cadenas de suministro y terceros.

La Directiva NIS2 amplía considerablemente el alcance de la normativa anterior. Entre los principales cambios destacan:

• Nueva clasificación de entidades: se distingue entre «entidades esenciales» (como las del sector energético, salud, transporte, digital, financiero) y «entidades importantes» (como las de fabricación, alimentación, logística, tecnologías emergentes).
• Mayores exigencias en materia de gestión de riesgos: las organizaciones deberán contar con políticas claras, planes de continuidad operativa, procedimientos de notificación de incidentes (en un plazo máximo de 24 horas), y mecanismos de evaluación periódica.
• Supervisión y sanciones reforzadas: se prevé un régimen sancionador que puede alcanzar los 10 millones de euros o el 2 % del volumen de negocio anual global de la empresa, en función de la gravedad del incumplimiento.
• Responsabilidad en la cadena de suministro: se refuerza el control sobre proveedores y terceros con acceso a sistemas críticos.

Se estima que más de 160.000 entidades en Europa estarán sujetas a las obligaciones de la Directiva NIS2. En concreto:

• Empresas grandes o medianas que operen en sectores críticos o que presten servicios esenciales.
• Entidades públicas que gestionen infraestructuras clave.
• Algunas pymes, si operan en entornos de alto riesgo o con impacto sistémico.

Quedan excluidas las microempresas, salvo que desarrollen actividades especialmente sensibles.

La preparación para NIS2 requiere una revisión integral del modelo de ciberseguridad de la organización. Desde Ariol Consulting recomendamos comenzar cuanto antes con:

• La identificación de si la entidad está clasificada como esencial o importante.
• Una auditoría de ciberseguridad y riesgos operativos que permita detectar vulnerabilidades y carencias.
• La definición o actualización de planes de respuesta ante incidentes, continuidad operativa y recuperación.
• El establecimiento de mecanismos de control, formación y seguimiento adaptados a las nuevas exigencias normativas.
• La integración de controles sobre la cadena de suministro y relaciones con terceros tecnológicos.

La Directiva NIS2 fue aprobada por el Parlamento Europeo en noviembre de 2022 y entró en vigor el 16 de enero de 2023. Establece un plazo de transposición nacional que finaliza el 17 de octubre de 2024, por lo que todos los Estados miembros deberán adaptar su legislación antes de esa fecha.

Actualmente, organismos como ENISA (Agencia de Ciberseguridad de la UE) están trabajando en el desarrollo de marcos técnicos, guías y recomendaciones para facilitar la aplicación homogénea de la normativa. No obstante, el ritmo de implementación está siendo desigual entre países, lo que genera preocupación sobre una posible fragmentación regulatoria si algunos Estados no cumplen los plazos establecidos.

En España, el proceso de transposición de NIS2 se encuentra avanzado, aunque aún no ha concluido. El 14 de enero de 2025, el Consejo de Ministros aprobó el Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad, que será el texto normativo encargado de adaptar NIS2 al ordenamiento jurídico nacional.

Este proyecto de ley define los organismos responsables de supervisión (como el INCIBE, CCN o CNPIC), establece las obligaciones de las entidades afectadas y regula el régimen sancionador correspondiente. A fecha de mayo de 2025, la ley sigue pendiente de aprobación definitiva en el Parlamento.

Aunque las empresas todavía no están legalmente obligadas a cumplir con todos los requisitos de NIS2, las autoridades nacionales ya recomiendan iniciar los procesos de adaptación, especialmente en los sectores estratégicos.

En Ariol Consulting ayudamos a organizaciones a cumplir con la Directiva NIS2 mediante un enfoque práctico, estratégico y alineado con su sector. Desde la evaluación inicial del nivel de cumplimiento hasta la definición e implementación de medidas concretas, trabajamos contigo para fortalecer tu seguridad digital, gestionar los riesgos y prepararte frente a las nuevas obligaciones normativas.

Hablemos sobre cómo podemos acompañarte en este proceso y ayudarte a convertir el cumplimiento en una ventaja competitiva.