Cómo cumplir con la Directiva NIS2 de ciberseguridad y sus requerimientos

La Directiva NIS2 es una actualización significativa de la Directiva sobre seguridad de redes y sistemas de información (NIS), establecida originalmente en 2016. Esta nueva versión amplía el número de sectores cubiertos, incluyendo salud, administración pública, infraestructuras digitales, espacio, entre otros, y clasifica a las organizaciones como entidades esenciales o entidades importantes. 

Uno de los objetivos clave de NIS2 es establecer un nivel común elevado de ciberseguridad en la UE, lo que implica medidas obligatorias de gestión de riesgos, notificación de incidentes y evaluaciones periódicas de seguridad. Esta normativa complementa y refuerza otras legislaciones como el Reglamento General de Protección de Datos (RGPD). 

 

La directiva se aplica a empresas que operan en sectores clave como: 

• Energía (electricidad, gas, petróleo) 
• Salud (hospitales, laboratorios) 
• Infraestructura digital (DNS, IXPs) 
• Transporte, banca, aguas, espacio y más 
• Proveedores digitales: plataformas, motores de búsqueda, servicios en la nube 

La NIS2 se aplica a todas las empresas medianas y grandes en los sectores mencionados: 

• Medianas empresas: ≥50 empleados y >10 millones € de facturación 
• Grandes empresas: ≥250 empleados o >50 millones € de facturación 

 

Incluso una PYME puede quedar afectada si forma parte de un grupo empresarial que exceda los umbrales o si su actividad impacta de forma crítica a la sociedad. 

 

Las empresas deben implementar un conjunto de medidas técnicas y organizativas obligatorias como son: 

• Evaluación y mitigación de riesgos de ciberseguridad 
• Protección de datos y acceso controlado 
• Planes de respuesta a incidentes y continuidad del negocio 
• Formación continua en ciberseguridad para todo el personal 

Las organizaciones deben evaluar los riesgos asociados con terceros y proveedores, asegurando que sus socios también cumplen con los estándares de seguridad exigidos por la NIS2. 

Además, las entidades están obligadas a: 

• Alertar en 24 horas tras detectar un incidente 
• Notificar en detalle a los 3 días y 
• Emitir un informe final a los 30 días 

Esto implica contar con sistemas y procesos que permitan una reacción ágil y documentada. 

 

Desde Cipher ofrecemos herramientas como xMDR Services, una plataforma integral que combina detección de amenazas, gestión de incidentes, inteligencia artificial y análisis avanzados para cumplir los requisitos de la NIS2. 

Nuestra solución SPIP permite realizar una evaluación exhaustiva de la postura de seguridad, establecer un plan de mitigación personalizado y priorizar las acciones más críticas. 

Gracias a Security Observatory, ayudamos a las organizaciones a mantener la seguridad a largo plazo mediante una supervisión continua y el seguimiento del cumplimiento de los planes de acción definidos. 

Nuestro servicio de Governance, Risk and Compliance (GRC) complementa el cumplimiento de la NIS2 mediante auditorías, gestión documental y garantía de alineación con marcos legales internacionales. 

 

Adaptarse a la Directiva NIS2 es una oportunidad para fortalecer la seguridad de la información, asegurar la continuidad operativa y construir confianza en los servicios digitales. En Cipher, ayudamos a las organizaciones a cumplir con la normativa y a convertir la ciberseguridad en una ventaja estratégica. 

Descarga el informe completo y descubre en detalle cómo adaptar tu organización a la Directiva NIS2 con apoyo experto.