Lo que debe saber sobre la Directiva NIS 2
- La Directiva NIS 2 refuerza el marco europeo de ciberseguridad y se aplica a un mayor número de organizaciones públicas y privadas.
- Distingue dos categorías de actores: las entidades esenciales y las entidades significativas, cada una de ellas sujeta a obligaciones en materia de seguridad, gestión de riesgos y notificación de incidentes.
- El ámbito de aplicación incluye ahora nuevos sectores como la energía, la sanidad, el transporte, la administración pública, las infraestructuras digitales, la industria y los servicios postales.
- La directiva también tiene en cuenta las cadenas de suministro y los terceros proveedores de servicios, que también deben garantizar un nivel de seguridad adecuado.
- Las sanciones por incumplimiento pueden ser severas, incluso para los directivos responsables.
- Para demostrar el cumplimiento, las organizaciones deben documentar y sellar con fecha y hora sus registros de seguridad, los plazos de los incidentes y las pruebas de las medidas correctoras.
¿Qué es la Directiva NIS 2?
La Directiva NIS 2 es la continuación de la primera Directiva «NIS» (2016) sobre la seguridad de las redes y los sistemas de información. Si bien esta primera versión permitió introducir un marco común de ciberseguridad a escala europea, la rápida evolución de las amenazas (y la multiplicación de los servicios críticos dependientes de las tecnologías digitales) han hecho necesario un sistema reforzado.
Con la NIS 2, la UE amplía el ámbito de aplicación, refuerza las obligaciones e introduce sanciones más estrictas. Se aplica tanto a los agentes públicos como a los privados, siempre que operen en sectores considerados estratégicos.
Entidades esenciales
Las organizaciones «esenciales» son aquellas cuyo buen funcionamiento es vital para la sociedad o la economía. La directiva amplía la lista con respecto a la versión anterior. Ahora abarca :
- El sector energético (producción, transporte, distribución de electricidad, petróleo, gas, hidrógeno, servicios de recarga para vehículos eléctricos, redes de calefacción/refrigeración).
- Transporte y espacio: compañías aéreas, gestores aeroportuarios, operadores ferroviarios, puertos marítimos, infraestructuras viarias y servicios espaciales.
- El sector bancario y financiero: entidades de crédito, plataformas de negociación, contrapartes centrales.
- Sanidad : hospitales, proveedores de asistencia sanitaria, laboratorios farmacéuticos de I+D, fabricantes de sustancias farmacéuticas básicas.
- Agua: proveedores de agua potable, unidades de gestión y tratamiento de aguas residuales, cuando esta actividad no sea auxiliar.
- Infraestructuras digitales y de TIC: centros de datos, servicios en la nube, servicios de externalización, redes de distribución de contenidos (CDN), servicios DNS, proveedores de servicios gestionados de ciberseguridad.
- Administración pública: autoridades centrales/regionales, tribunales, fiscalías, instituciones estratégicas.
Este paquete ampliado demuestra la determinación de la UE de tener en cuenta todos los servicios que ahora son vitales en el contexto digital.
Entidades significativas
Aunque su papel se considere menos estratégico que el de las entidades «esenciales», las entidades «importantes» siguen estando sujetas a obligaciones de seguridad. Entre ellas se incluyen:
- Proveedores de servicios digitales: motores de búsqueda, mercados en línea, redes sociales.
- El sector de la gestión de residuos: recogida, tratamiento o eliminación de residuos, a menos que esta actividad sea marginal.
- Fabricación, producción y distribución de productos químicos: fabricantes, distribuidores y minoristas de sustancias químicas.
- Actividades de investigación: entidades de I+D aplicada o experimental.
- Cadenas de suministro alimentario: actores de la producción, transformación y distribución de alimentos.
- Industria: producción informática, electrónica, óptica, vehículos, equipos de transporte, maquinaria mecánica, dispositivos médicos (incluido el diagnóstico in vitro).
- Servicios postales: servicios de recogida/tránsito/distribución de correo, incluidos los servicios de mensajería urgente.
Tamaño, estatus y criterios de demarcación
La elegibilidad de una entidad también depende de su tamaño: algunas organizaciones, que de otro modo entrarían en la categoría de «esenciales», pueden clasificarse como «grandes» si cumplen los umbrales de las PYME. No obstante, existen excepciones: los proveedores cualificados de servicios de confianza, los registros de nombres de dominio, los proveedores de servicios de comunicación disponibles al público, las administraciones centrales, etc., permanecerán en la categoría «esencial», aunque sean pequeñas.
Este enfoque permiteadaptar el alcance a las realidades económicas, garantizando al mismo tiempo que los servicios verdaderamente críticos permanezcan bajo control.
Público frente a privado: una directiva transversal
La directiva se aplica tanto a los agentes públicos como a los privados. Esto significa que entran en su ámbito de aplicación las organizaciones que son propiedad del Estado o están bajo su control, así como las empresas privadas que operan en los sectores cubiertos. Las administraciones centrales se denominan sistemáticamente entidades esenciales. Este carácter transversal acentúa el alcance de la directiva en el ecosistema global.
Cadenas de suministro y proveedores de servicios de terceros
Una dimensión clave de la NIS 2 es la consideración de la cadena de suministro: los proveedores (productos, servicios o infraestructuras) de entidades esenciales o importantes también pueden estar sujetos a las obligaciones de la directiva. Esto significa que las organizaciones sujetas a la directiva son responsables de garantizar que sus proveedores terceros adoptan medidas de seguridad equivalentes a las que aplican ellas mismas.
Ámbito geográfico: más allá de la UE
La directiva no se limita a los Estados miembros: también puede aplicarse a los proveedores de servicios establecidos fuera de la Unión Europea si proporcionan servicios o infraestructuras críticos a entidades situadas en la UE. En otras palabras, una organización no europea que preste un servicio estratégico a la UE podría entrar en el ámbito de aplicación de la NIS 2.
Regímenes sectoriales: cuándo no se aplica la directiva
Algunas organizaciones ya están sujetas a marcos normativos específicos considerados equivalentes o más estrictos que la Directiva NIS 2 (por ejemplo, para el sector financiero). En estos casos, la directiva estipula que los textos específicos del sector tienen prioridad y no se aplican a esta parte. De este modo se evita el solapamiento de sistemas. Sin embargo, si algunas entidades de un sector no están cubiertas por estos regímenes específicos, aún pueden verse afectadas por la NIS 2.
Sellado de tiempo cualificado: una solución para el cumplimiento de NIS2
La directiva NIS 2 exige a las entidades críticas e importantes que garanticen la seguridad de sus sistemas de información, documenten los incidentes y demuestren la aplicación de medidas correctoras. Evidency, como proveedor de servicios de confianza cualificado (QTSP) conforme con eIDAS, ofrece soluciones de sellado de tiempo cualificado que cumplen estas obligaciones. El sellado de tiempo cualificado permite a las organizaciones :
- Asegure y rastree los registros de seguridad,
- establecer plazos fiables para los incidentes,
- conservar pruebas de la remediación o corrección.
Al integrar estos servicios directamente en sus procesos a través de API, las empresas pueden garantizar la integridad, autenticidad y valor probatorio de sus datos.El sellado de tiempo cualificado se convierte así en una palanca clave para demostrar el cumplimiento del NIS2 y reforzar la gobernanza general de la ciberseguridad.
Conclusión
El ámbito de aplicación de la Directiva NIS 2 es amplio y evolutivo: los Estados miembros tenían hasta el 17 de abril de 2025 para identificar a las entidades afectadas. Aunque cada organización tendrá que comprobar su propia situación, los actores de los sectores estratégicos disponen ya de información suficiente para anticipar su cumplimiento. Es esencial empezar ya a poner en marcha sistemas de ciberseguridad y procesos de notificación de incidentes.
Exención de responsabilidad
Las opiniones, presentaciones, cifras y estimaciones presentadas en el sitio web, incluido el blog, tienen únicamente fines informativos y no deben considerarse asesoramiento jurídico. Para obtener asesoramiento jurídico, debe ponerse en contacto con un profesional del derecho de su jurisdicción.
Queda prohibida la utilización del contenido de esta página web, incluido el blog, con fines comerciales, incluida la reventa, sin el permiso previo de Evidency. La solicitud de permiso debe especificar el propósito y el alcance de la reproducción. Para fines no comerciales, todo el material de esta publicación puede citarse o reimprimirse libremente, pero se requiere un reconocimiento, junto con un enlace a este sitio web.
