La Directiva NIS2 amplía el enfoque de la NIS1, que pasa de centrarse únicamente en la ciberseguridad técnica a la resiliencia de toda la empresa. Exige a las organizaciones que mantengan los servicios esenciales bajo amenaza, que se recuperen rápidamente de los incidentes y que protejan la estabilidad de la cadena de suministro.

Con la NIS2, si sus sistemas fallan, no solo los consumidores están en riesgo, sino que los líderes también pueden enfrentarse a sanciones personales. Con la entrada en vigor en todos los Estados miembros a partir de octubre de 2024, debe prepararse ahora para garantizar el cumplimiento.

Lo que la NIS2 exige a su organización

La NIS2 revisa el marco original de la NIS1 y ahora cubre nuevas industrias, las clasifica y establece expectativas específicas para esas industrias. Sectores que tal vez nunca hayan tenido que pensar en la regulación de la ciberseguridad, como los servicios de alimentación o postales, ahora se enfrentan al mismo escrutinio que los bancos y los hospitales.

La NIS2 también refuerza la aplicación, aumenta las sanciones y responsabiliza directamente a los líderes en comparación con la NIS1. Esto significa que, si opera en la UE, el incumplimiento podría costarle dinero y credibilidad a su organización, al tiempo que pone en riesgo personal a sus equipos de liderazgo. Estas implicaciones apuntan a una verdad: bajo la NIS2, todos son responsables de la resiliencia.

¿Qué ha cambiado de la NIS1 a la NIS2?

El cambio más importante de la NIS2 es que los consejos de administración y los ejecutivos son ahora personalmente responsables del cumplimiento. Ya no pueden simplemente delegar la responsabilidad, lo que obliga a los consejos a supervisar más de cerca la gestión de riesgos y la gobernanza.

La NIS2 también amplía la cobertura de los sectores regulados y distingue entre entidades esenciales e importantes, designando áreas de enfoque para ambas. El cumplimiento se describe en 10 medidas mínimas de gestión de riesgos, así como en los plazos de presentación de informes para garantizar la divulgación.

En general, el objetivo es elevar la ciberseguridad y la resiliencia operativa a una preocupación a nivel de consejo de administración. El incumplimiento conlleva graves riesgos, incluida la responsabilidad personal, la destitución del cargo y las sanciones. El cumplimiento proactivo no solo evita las sanciones, sino que también protege el liderazgo y fortalece a toda la organización.

Características clave introducidas por la NIS2

La NIS2 introduce varios mandatos en comparación con la NIS1 que las organizaciones deben abordar de inmediato:

Área NIS1 NIS2
Ámbito Operadores limitados de servicios esenciales y proveedores de servicios digitales seleccionados Se amplía a industrias críticas, incluyendo la manufacturera, alimentaria, química, servicios postales, investigación, espacio y administración pública
Clasificación de entidades Ninguna “Esencial” (Anexo I) e “Importante” (Anexo II)
Gobernanza y responsabilidad Delegada Los consejos de administración y los ejecutivos son considerados responsables; el incumplimiento persistente puede requerir cambios en el liderazgo
Notificación de incidentes Definido vagamente Notificación inicial en 24 horas, un informe detallado después de 72 horas y un informe final después de un mes
Gestión de riesgos Orientación mínima 10 medidas de riesgo específicas
Sanciones Variadas Multas en toda la UE, instrucciones vinculantes, divulgación pública y responsabilidad del liderazgo

Clasificación de entidades en detalle

  • Esencial (Anexo I): Aguas residuales, administración pública, espacio
  • Importante (Anexo II): Servicios postales y de mensajería, gestión de residuos (distinta de las aguas residuales), producción de productos químicos, producción de alimentos, fabricación, proveedores de servicios digitales, investigación

Las entidades esenciales apoyan la infraestructura social crítica. El incumplimiento podría significar interrupciones en los servicios de los que dependen los consumidores. Es posible que las entidades importantes no sean tan críticas para la sociedad, pero los fallos aún pueden causar importantes daños financieros y de reputación.

Según la NIS2, las entidades esenciales tienen requisitos de supervisión, mientras que las entidades importantes están sujetas a supervisión retroactiva, lo que significa que se tomarán medidas si no cumplen. Los Estados miembros pueden determinar lo que constituye «supervisión» a partir de una serie de opciones descritas en la directiva.

Las multas y sanciones también son más elevadas para las entidades esenciales en comparación. Las entidades esenciales se enfrentan a multas administrativas de hasta 10 millones de euros o al menos el 2% del volumen de negocios global anual total de la empresa en el ejercicio anterior, la cantidad que sea mayor. Las entidades importantes que no cumplen se enfrentan a multas administrativas de hasta 7 millones de euros o al menos el 1,4% del volumen de negocios global anual total de la empresa, la cantidad que sea mayor. Con estas sanciones más duras y una visión estricta de la responsabilidad personal del liderazgo, la NIS2 pretende aumentar los riesgos del incumplimiento.

¿Quién tiene que cumplir con la NIS2?

Los sectores recién regulados, y los líderes que los supervisan, están ahora dentro del alcance de la NIS2. Esta directiva no se trata solo de la cobertura, sino de quién será considerado responsable de las interrupciones. Para su organización, la responsabilidad de la NIS2 se extiende más allá de la TI e implica:

  • Gestión de la continuidad del negocio (BCM): Mantener en funcionamiento los servicios esenciales
  • Resiliencia operativa: Coordinación de la recuperación en todas las unidades de negocio
  • Gobernanza, riesgo y cumplimiento (GRC): Garantizar que se sigan los protocolos de supervisión y gobernanza
  • Ciberseguridad: Defensa contra las amenazas y apoyo a la notificación de incidentes

Con esta responsabilidad compartida, la coordinación interfuncional es fundamental para mantener los servicios en funcionamiento y mitigar los riesgos de interrupción. La falta de colaboración puede dar lugar a riesgos de incumplimiento, como la divulgación pública o incluso cambios obligatorios en el liderazgo.

Los 10 requisitos básicos de cumplimiento de la NIS2

La NIS2 exige 10 medidas mínimas de gestión de riesgos que su organización debe poner en práctica. Estas medidas son la base; los reguladores esperarán pruebas, y los líderes serán considerados responsables si no se cumplen:

1. Análisis de riesgos y seguridad de los sistemas de información

Expectativa: Identificar las vulnerabilidades y establecer controles de protección.
Las lagunas aquí son la causa principal de la mayoría de los fallos de cumplimiento, y se preguntará a los consejos por qué se pasaron por alto.

2. Gestión de incidentes

Expectativa: Responder eficazmente para reducir el impacto operativo y financiero.
Los plazos son ajustados según la NIS2, y un proceso de incidentes débil corre el riesgo de que se incumplan los plazos.

3. Medidas de continuidad del negocio

Expectativa: Mantener los servicios esenciales durante las interrupciones.
Si su plan falla bajo presión, los servicios esenciales pueden desconectarse.

4. Seguridad de la cadena de suministro

Expectativa: Prevenir las interrupciones o brechas relacionadas con los proveedores.
Un proveedor débil puede poner a toda su organización fuera de cumplimiento. Los reguladores no aceptarán «nuestro proveedor falló» como excusa.

5. Seguridad en la adquisición, el desarrollo y el mantenimiento de sistemas, incluyendo la gestión y divulgación de vulnerabilidades

Expectativa: Asegurar los sistemas desde el principio para reducir los riesgos.
Si la seguridad se añade demasiado tarde, las vulnerabilidades se multiplican, dejándole responsable de las debilidades prevenibles.

6. Políticas y procedimientos para evaluar la eficacia de las medidas de gestión de riesgos de ciberseguridad

Expectativa: Asegurar que los controles de riesgo sigan siendo eficaces a lo largo del tiempo.
Los controles obsoletos no satisfarán a los reguladores. Los consejos deben mostrar pruebas de que las protecciones se prueban y siguen siendo eficaces.

7. Higiene informática básica y formaciones

Expectativa: Capacitar a los empleados para prevenir brechas y errores.
La mayoría de las brechas se remontan a simples errores. Una formación inadecuada puede exponer a su organización a sanciones por negligencia.

8. Políticas sobre el uso adecuado de la criptografía y el cifrado

Expectativa: Proteger los datos y las comunicaciones sensibles.
Una criptografía débil puede exponer los datos de los clientes, lo que puede desencadenar multas y requisitos de divulgación pública que dañen directamente la credibilidad.

9. Seguridad de los recursos humanos, políticas de control de acceso y gestión de activos:

Expectativa: Limitar la exposición a amenazas internas y externas.
Un control de acceso deficiente es una de las formas más rápidas de suspender las auditorías de cumplimiento.

10. Uso de comunicación multifactorial, segura de voz/vídeo/texto y comunicación de emergencia segura

Expectativa: Reforzar el acceso seguro y garantizar la comunicación durante las crisis.
Una autenticación débil o unos canales de comunicación rotos pueden paralizar la respuesta a la crisis.

Según las directrices, estas medidas deben aplicarse de forma proporcional al riesgo, el tamaño, el coste y el impacto de los incidentes. En virtud de la directiva, la UE también puede llevar a cabo evaluaciones de riesgos de servicios, sistemas o cadenas de suministro críticos, imponer obligaciones de certificación y adoptar requisitos técnicos relacionados con estas medidas.

Estas 10 medidas deben considerarse como el suelo, no como el techo, de la resiliencia. Los reguladores esperarán que las demuestre en la práctica y responsabilizarán personalmente a los líderes si se descuida alguna.

Barreras comunes para el cumplimiento de la NIS2

Muchas organizaciones pueden encontrarse con estos problemas al intentar cumplir con la NIS2:

  • Titularidad no designada en los equipos de gobernanza, operaciones y TI
    • Error: Todo el mundo asume que «alguien más» es responsable del cumplimiento. Los plazos de presentación de informes pueden retrasarse porque ningún equipo se siente realmente responsable.
    • Cómo evitarlo: Asigne un único propietario ejecutivo con autoridad interfuncional y, a continuación, realice un seguimiento de las responsabilidades en todos los equipos con transparencia.
  • Estrategias de ciberseguridad y resiliencia operativa desalineadas
    • Error: Los equipos de ciberseguridad se centran estrechamente en las defensas técnicas, mientras que los equipos de continuidad del negocio se centran en la recuperación, dejando una brecha en el medio. Esta desconexión se manifiesta cuando se produce un incidente y los planes de recuperación no coinciden con la amenaza real.
    • Cómo evitarlo: Trate la resiliencia y la ciberseguridad como un proceso continuo, no como silos separados. Realice ejercicios conjuntos de simulación, para que los planes no se derrumben bajo presión.
  • Cumplimiento inconexo en todas las ubicaciones y equipos
    • Error: Las grandes organizaciones podrían permitir que los sitios regionales interpreten la NIS2 de forma diferente. Algunos cumplen en exceso, otros cumplen en defecto, creando informes inconsistentes y lagunas de auditoría.
    • Cómo evitarlo: Centralice las políticas de cumplimiento y, a continuación, adáptelas localmente donde sea necesario. Utilice paneles de software para mantener una única fuente de verdad.
  • Plazos de presentación de informes y documentación incumplidos
    • Error: Los equipos se apresuran después de un incidente porque las vías de escalada no están claras. Los informes se envían tarde o incompletos, lo que desencadena sanciones reglamentarias.
    • Cómo evitarlo: Predefina los protocolos de escalada y automatice la recopilación de pruebas. Practique el ciclo de presentación de informes de 24/72 horas con antelación, para que no falle en el momento.
  • Proveedores no supervisados
    • Error: Las empresas asumen que los proveedores tienen controles adecuados, pero no lo verifican. Cuando se produce una brecha en un proveedor, los reguladores le responsabilizarán.
    • Cómo evitarlo: Incorpore las revisiones de riesgo de los proveedores a los contratos y exija pruebas de cumplimiento. Supervise a sus proveedores de forma continua, no solo anualmente.

La mayoría de los fallos de la NIS2 no se producen porque las organizaciones estén ignorando las normas. Se producen debido a pequeñas lagunas en la propiedad, el calendario o la supervisión de los proveedores. La diferencia entre el cumplimiento y un fallo costoso a menudo se reduce a si estas lagunas se cierran por adelantado.

Cómo prepararse para el cumplimiento de la NIS2

Para estar preparadas, las organizaciones deben:

  • Realizar un análisis de deficiencias para identificar las debilidades con respecto a las 10 medidas de la NIS2.
  • Establecer la colaboración entre los equipos de BCM, GRC y ciberseguridad.
  • Reforzar la supervisión de los proveedores y la cadena de suministro para evitar interrupciones externas.
  • Definir protocolos de gobernanza y escalada para tomar decisiones oportunas y conformes.
  • Integrar la resiliencia en la planificación empresarial con pruebas periódicas y auditorías de continuidad.

Las organizaciones que tomen estas medidas ahora estarán en mejor posición para evitar retrasos en la presentación de informes e interrupciones del servicio. Cuanto antes empiece, más tiempo tendrá para cerrar las brechas, y menos probable será que le pillen desprevenido cuando los reguladores exijan pruebas.

Cómo el software de gestión de riesgos simplifica el cumplimiento de la NIS2

Cuando los equipos se apresuran a buscar pruebas después de un incidente, el software automatiza todo su rastro de pruebas. Su organización puede utilizar el software para cerrar las brechas comunes de la NIS2 mediante:

  • Realizar un análisis de deficiencias para identificar las debilidades con respecto a las 10 medidas de la NIS2.
  • Centralización de datos: Su organización tiene una fuente de verdad lista para la auditoría sin hojas de cálculo dispersas o informes contradictorios.
  • Automatización de la presentación de informes: Puede automatizar el flujo de trabajo de presentación de informes de 24/72 horas con pruebas con marca de tiempo, escaladas automáticas y enrutamiento de aprobaciones.
  • Vinculación de la responsabilidad del liderazgo con los resultados: Haga visible la responsabilidad del liderazgo con paneles de control y registros de acciones que asignan los riesgos a los propietarios y las decisiones.
  • Seguimiento del cumplimiento en tiempo real: Proporcione instantáneas ejecutivas listas para la auditoría a petición, para que el consejo pueda ver la postura actual y las correcciones pendientes.
  • Proporcionar documentación estructurada: Capture rastros de papel a prueba de manipulaciones, incluyendo marcas de tiempo, historiales de versiones y archivos adjuntos, para que las auditorías no causen el caos.

Los flujos de trabajo automatizados pueden ayudarle a entregar a los reguladores un paquete de pruebas estructurado y oportuno. Especialmente durante una crisis estresante, puede mantener la calma en el cumplimiento en lugar de apresurarse a reunir documentos e incumplir los plazos.

La NIS2 establece un listón más alto para la resiliencia con nuevas palancas de aplicación, como plazos estrictos, medidas mínimas y sanciones personales. Como la NIS2 ya está en vigor, es hora de asegurarse de que su organización ha asignado la responsabilidad, ha automatizado la notificación de incidentes y ha establecido una supervisión continua.

Con un software eficaz, puede mostrar una instantánea auditable de su postura NIS2 a tiempo para su próxima reunión del consejo de administración. En general, la capacidad de su organización para mostrar a los reguladores pruebas a petición, y su responsabilidad personal como líder, es lo que define el éxito bajo la NIS2.

Para obtener más información sobre la resiliencia, lea nuestro libro electrónico, Su guía para la resiliencia cibernética, y para obtener más información sobre el fortalecimiento de su programa de resiliencia cibernética, consulte la Gestión de la continuidad del negocio y el software GRC de Riskonnect.