La Directiva NIS 2 impone nuevas obligaciones de ciberseguridad a las empresas. Descubra quién está afectado, qué medidas son necesarias y cómo se configura la responsabilidad de los administradores.
Obligaciones de ciberseguridad para empresas: Lo que exige la Directiva NIS 2
El panorama de amenazas en el ciberespacio se intensifica continuamente. Los ataques de ransomware, los ataques a la cadena de suministro y las ciberoperaciones patrocinadas por Estados afectan a empresas de todos los tamaños. El legislador europeo ha creado un marco regulatorio integral con la Directiva NIS 2 (UE) 2022/2555, que endurece significativamente los requisitos de ciberseguridad para las empresas. La transposición nacional mediante el NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) afecta a considerablemente más empresas que la normativa anterior e introduce sanciones severas en caso de incumplimiento.
¿Quién está afectado por la Directiva NIS 2?
Entidades esenciales y entidades importantes
La Directiva NIS 2 distingue entre entidades esenciales y entidades importantes. Esta categorización determina el alcance de la supervisión y el nivel de las posibles multas.
Las entidades esenciales incluyen, entre otras:
- Energía (electricidad, gas, petróleo, calefacción urbana, hidrógeno)
- Transporte (aéreo, ferroviario, marítimo, por carretera)
- Sector bancario e infraestructuras de los mercados financieros
- Sanidad
- Agua potable y aguas residuales
- Infraestructura digital (DNS, TLD, nube, centros de datos)
- Administración pública
- Espacio
Las entidades importantes incluyen, entre otras:
- Servicios postales y de mensajería
- Gestión de residuos
- Química y alimentación
- Industria manufacturera (productos sanitarios, maquinaria, vehículos, electrónica)
- Servicios digitales (mercados en línea, motores de búsqueda, redes sociales)
- Investigación
Umbrales
La sujeción depende del tamaño de la empresa y del sector:
- Empresas medianas: A partir de 50 empleados o a partir de 10 millones de euros de facturación anual y total de balance
- Grandes empresas: A partir de 250 empleados o a partir de 50 millones de euros de facturación anual
Determinadas entidades están afectadas independientemente de su tamaño, como los proveedores de servicios DNS, los registros TLD, los servicios de confianza cualificados y los operadores de infraestructuras críticas.
Obligaciones de gestión de riesgos
Requisitos mínimos de ciberseguridad
Las empresas afectadas deben implementar medidas técnicas, operativas y organizativas adecuadas y proporcionadas para gestionar los riesgos para la seguridad de sus redes y sistemas de información. Las medidas deben cubrir, como mínimo, los siguientes ámbitos:
- Análisis de riesgos y políticas de seguridad de los sistemas de información
- Gestión de incidentes de seguridad (Incident Response)
- Gestión de la continuidad del negocio incluyendo la gestión de copias de seguridad y la recuperación
- Seguridad de la cadena de suministro y aspectos de seguridad en las relaciones con proveedores
- Seguridad en la adquisición, desarrollo y mantenimiento de sistemas informáticos, incluyendo la gestión de vulnerabilidades
- Políticas y procedimientos para evaluar la eficacia de las medidas de seguridad
- Ciberhigiene y formación en ciberseguridad
- Criptografía y cifrado
- Seguridad del personal, control de acceso y gestión de activos
- Autenticación multifactor y comunicaciones seguras
Obligaciones de documentación
Todas las medidas y su implementación deben ser documentadas de forma exhaustiva. Esto incluye:
- Análisis de riesgos y sus actualizaciones periódicas
- Políticas y conceptos de seguridad
- Planes de respuesta a incidentes
- Certificados de formación
- Resultados de auditorías y pruebas de penetración
- Evaluaciones de proveedores en materia de ciberseguridad
Obligaciones de notificación de incidentes de seguridad
La Directiva NIS 2 introduce un sistema escalonado de notificación para incidentes de seguridad significativos:
Procedimiento de notificación en tres fases
Alerta temprana en 24 horas: Tras tener conocimiento de un incidente de seguridad significativo, debe enviarse una primera notificación al BSI (Bundesamt für Sicherheit in der Informationstechnik). Esta debe indicar si el incidente es presumiblemente atribuible a actos ilícitos o malintencionados y si son posibles impactos transfronterizos.
Notificación del incidente en 72 horas: Una notificación actualizada con una primera evaluación del incidente, incluyendo la gravedad, el impacto y -- cuando estén disponibles -- los indicadores de compromiso.
Informe final en el plazo de un mes: Un informe detallado que describa el incidente, la naturaleza de la amenaza, las contramedidas adoptadas y los impactos transfronterizos.
¿Qué constituye un incidente de seguridad significativo?
Un incidente de seguridad se considera significativo si:
- ha causado o puede causar perturbaciones operativas graves o pérdidas financieras
- ha afectado o puede afectar a otras personas físicas o jurídicas causando daños materiales o inmateriales considerables
Seguridad de la cadena de suministro
Un foco especial de la Directiva NIS 2 es la seguridad de la cadena de suministro. Las empresas deben:
- Considerar las vulnerabilidades específicas de sus proveedores directos y prestadores de servicios
- Evaluar la calidad global de los productos y las prácticas de ciberseguridad de sus proveedores
- Establecer acuerdos contractuales sobre requisitos de seguridad con los proveedores
- Realizar revisiones periódicas de la seguridad de la cadena de suministro
Esto tiene implicaciones significativas para la redacción de contratos: los contratos existentes con proveedores deben complementarse con cláusulas de ciberseguridad.
Responsabilidad de los administradores
Responsabilidad personal de la dirección
La Directiva NIS 2 establece una responsabilidad personal de la dirección en el cumplimiento de las obligaciones de ciberseguridad. Los órganos de dirección deben:
- Aprobar y supervisar la implementación de las medidas de gestión de riesgos
- Participar en formaciones de ciberseguridad
- Ofrecer a todos los empleados formación periódica
En caso de incumplimiento culpable de estas obligaciones, los administradores y miembros del consejo de administración son personalmente responsables frente a la sociedad. La renuncia de la sociedad a ejercer acciones de indemnización o una transacción no es posible según el proyecto de transposición alemán.
El BSI como autoridad de supervisión
El Bundesamt für Sicherheit in der Informationstechnik (BSI) se convierte en la autoridad de supervisión central. Sus competencias incluyen:
- Auditorías e inspecciones (para las entidades esenciales también de forma proactiva)
- Órdenes para subsanar deficiencias
- Exigencia de pruebas de la implementación de las medidas de seguridad
- Advertencias al público sobre entidades afectadas
- Para las entidades esenciales: Nombramiento de un comisionado de vigilancia
- Prohibición temporal de funciones directivas en caso de infracciones reiteradas
Multas y sanciones
El marco sancionador se inspira en el RGPD:
- Entidades esenciales: Hasta 10 millones de euros o el 2 % de la facturación anual mundial
- Entidades importantes: Hasta 7 millones de euros o el 1,4 % de la facturación anual mundial
Solapamientos con el RGPD
La Directiva NIS 2 y el RGPD persiguen objetivos de protección diferentes, pero se solapan considerablemente en la práctica:
- Las medidas técnicas y organizativas conforme al art. 32 RGPD coinciden parcialmente con los requisitos de NIS 2
- Las obligaciones de notificación en caso de violaciones de datos (72 horas según el RGPD) complementan las obligaciones de notificación de NIS 2
- Se recomienda una gestión integrada del cumplimiento para evitar estructuras duplicadas
Importante: El cumplimiento de los requisitos de NIS 2 no sustituye el cumplimiento del RGPD, y viceversa. Ambos marcos normativos coexisten.
Hoja de ruta práctica para la implementación
Fase 1: Análisis de afectación (inmediatamente)
- Compruebe si su empresa debe clasificarse como entidad esencial o importante
- Identifique todas las redes y sistemas de información pertinentes
- Determine las personas responsables a nivel directivo
Fase 2: Análisis de brechas (1 a 3 meses)
- Evalúe el estado actual de sus medidas de ciberseguridad
- Compare con los requisitos mínimos de NIS 2
- Identifique las necesidades de actuación y priorice las medidas
Fase 3: Implementación (3 a 12 meses)
- Establezca un sistema de gestión de la seguridad de la información (SGSI)
- Implemente procesos de respuesta a incidentes y estructuras de notificación
- Forme a la dirección y a los empleados
- Revise y complemente los contratos con proveedores
- Documente todas las medidas de forma exhaustiva
Fase 4: Mejora continua (permanente)
- Auditorías y pruebas de penetración periódicas
- Actualización de los análisis de riesgos
- Adaptación a nuevas amenazas y desarrollos normativos
Conclusión
La Directiva NIS 2 marca un cambio de paradigma en la regulación de la ciberseguridad. El ámbito de aplicación considerablemente ampliado, la responsabilidad personal de los administradores y las severas multas hacen indispensable una implementación temprana y estructurada. Las empresas que ya cuentan con un SGSI funcional tienen ventaja, pero también ellas deben adaptar sus procesos a los requisitos específicos de NIS 2.
compleneo le asesora de forma integral en la implementación de los requisitos de NIS 2: desde el análisis de afectación, pasando por la implementación de medidas técnicas y organizativas, hasta la redacción de contratos con proveedores. Junto con nuestro equipo interdisciplinar en las áreas de protección de datos, derecho digital y cumplimiento normativo, nos aseguramos de que su empresa cumpla con los nuevos requisitos.
