Directiva UE 2022/2555

Directiva NIS2

Medidas de un alto nivel común de ciberseguridad en la Unión Europea

La Directiva NIS2 sustituye a la anterior directiva NIS y amplía significativamente su alcance, incluyendo nuevos sectores, endureciendo los requisitos de seguridad y estableciendo un marco de gobernanza más robusto para la ciberseguridad europea.

Fecha límite: 17 Octubre 2024

Sanciones máx: 10M€ o 2% facturación

Cronograma de Implementación

Enero 2023

Entrada en vigor de NIS2

17 Oct 2024

Plazo de transposición en Estados miembros

← Fecha actual

17 Abr 2025

Revisión de la lista de sectores afectados

18 Oct 2024

Aplicación de las disposiciones

Requisitos Principales

NIS2 establece obligaciones específicas de ciberseguridad que deben implementar las entidades afectadas. El incumplimiento puede resultar en sanciones significativas.

Gobernanza de Ciberseguridad

El órgano de dirección debe aprobar las medidas de seguridad, supervisar su implementación y ser responsable del cumplimiento.

Formación obligatoria en ciberseguridad para directivos
Aprobación de políticas de seguridad por el consejo
Supervisión continua de la implementación
Responsabilidad personal de los directivos

Análisis de Riesgos

Evaluación sistemática de los riesgos de seguridad con metodologías apropiadas y revisión periódica.

Identificación de activos críticos
Evaluación de vulnerabilidades
Análisis de impacto empresarial
Revisión anual obligatoria

Notificación de Incidentes

Proceso estructurado para notificar incidentes significativos a las autoridades competentes.

Notificación temprana en 24 horas
Notificación intermedia a las 72 horas
Informe final en un mes
Comunicación a afectados cuando proceda

Gestión de Continuidad

Planes y procedimientos para garantizar la continuidad de los servicios esenciales ante incidentes.

Plan de continuidad de negocio
Copias de seguridad verificables
Pruebas periódicas de recuperación
Procedimientos de crisis

Sectores Afectados

NIS2 clasifica las entidades en dos categorías: esenciales (mayores requisitos) e importantes, abarcando un amplio espectro de sectores críticos.

Energía

Electricidad
Petróleo
Gas
Hidrógeno

Transporte

Aéreo
Ferroviario
Marítimo
Carretera

Banca

Entidades de crédito
Inversión
Pagos

Salud

Hospitales
Laboratorios
Investigación

Infraestructuras Digitales

Agua

Suministro
Tratamiento
Distribución

Administración Pública

Central
Autonómica
Local

Gestión de Residuos

Recogida
Tratamiento
Eliminación

Zero Trust para Cumplimiento NIS2

Cómo Zero Trust satisface NIS2

Control de Acceso Estricto

Autenticación multifactor y autorización granular para todos los accesos.

Segmentación de Red

Aislamiento efectivo para limitar la propagación de incidentes.

Visibilidad y Auditoría

Registro completo de accesos para notificación de incidentes.

Evaluación Continua de Riesgos

Monitorización constante del posture de seguridad.

Beneficios Adicionales

Reducción del riesgo de infracciones de datos
Mejora en tiempos de detección y respuesta
Documentación automática para auditorías
Protección de activos críticos priorizada
Alineación con otras normativas (DORA, ENS)

Régimen Sancionador

Las autoridades nacionales pueden imponer sanciones significativas por incumplimiento:

Hasta 10M€ o 2% del volumen de negocio para entidades esenciales
Hasta 7M€ o 1,4% del volumen de negocio para entidades importantes
Responsabilidad personal de los directivos
Posibilidad de suspensión temporal de funciones directivas

Normativas Relacionadas

Reglamento DORA

Resiliencia operativa digital para el sector financiero

Esquema Nacional de Seguridad

Marco de ciberseguridad para la administración pública española

¿Está preparado para NIS2?

El plazo de transposición finaliza el 17 de octubre de 2024. Nuestros expertos le ayudan a evaluar su situación y diseñar un plan de cumplimiento efectivo.

Solicitar evaluación NIS2 Ver todas las normativas