boton
Contactar

● Glosario de ciberseguridad

¿Qué es la Directiva NIS2?

La Directiva NIS2 (Directiva (UE) 2022/2555) es la normativa actualizada de ciberseguridad de la Unión Europea que establece requisitos de seguridad armonizados, notificación obligatoria de incidentes y medidas de ejecución para entidades esenciales e importantes en 18 sectores críticos. Sustituyó a la Directiva NIS original el 18 de octubre de 2024, ampliando el alcance a más de 100.000 organizaciones con sanciones de hasta 10 millones de euros o el 2% de la facturación global. Esta guía cubre requisitos, sectores afectados, sanciones y cómo las soluciones de ciberseguridad de Teldat facilitan el cumplimiento.

Definición y contexto

La Directiva NIS2 es la normativa integral de ciberseguridad de la Unión Europea diseñada para alcanzar un nivel común elevado de ciberseguridad en todos los estados miembros. Publicada como Directiva (UE) 2022/2555 en diciembre de 2022, sustituyó a la Directiva NIS1 de 2016.

NIS2 exige a las organizaciones medianas y grandes en sectores críticos implementar medidas técnicas, operativas y organizativas adecuadas para gestionar los riesgos de ciberseguridad. Establece requisitos uniformes de gestión de riesgos, notificación de incidentes, seguridad de la cadena de suministro y responsabilidad de gobernanza en toda la UE.

Dato clave: NIS2 afecta a más de 100.000 organizaciones en la UE. Los estados miembros debían transponer NIS2 antes del 17 de octubre de 2024. Solo cuatro países (Bélgica, Croacia, Hungría e Italia) cumplieron. La Comisión Europea abrió procedimientos de infracción contra 23 estados miembros en noviembre de 2024.

La directiva forma parte de una estrategia más amplia que incluye el Reglamento de Ciberresiliencia (CRA), el Reglamento DORA para el sector financiero y la Directiva CER. Juntos protegen la infraestructura crítica, los servicios digitales y las cadenas de suministro de la UE.

NIS1 vs NIS2: diferencias clave

La Directiva NIS original sufría de implementación inconsistente, alcance reducido y aplicación débil. NIS2 aborda estas deficiencias:

Aspecto NIS1 (2016) NIS2 (2024)
Alcance 7 sectores; estados miembros elegían entidades 18 sectores; regla automática de tamaño (50+ empleados o 10 M€+)
Clasificación Operadores de Servicios Esenciales y Proveedores Digitales Entidades esenciales e importantes con supervisión diferenciada
Sanciones Variables; sin multas armonizadas Hasta 10 M€ / 2% (esenciales); 7 M€ / 1,4% (importantes)
Responsabilidad directiva No definida Alta dirección personalmente responsable; formación obligatoria
Notificación de incidentes Sin plazos estrictos 24h alerta temprana, 72h notificación, 1 mes informe final
Cadena de suministro No contemplada Evaluaciones de riesgo obligatorias
Aplicación Poderes limitados Supervisión proactiva (esenciales); reactiva (importantes)
Cooperación Marco básico EU-CyCLONe para crisis transfronterizas

¿Quién debe cumplir con NIS2?

NIS2 introduce una regla de tamaño automática. Cualquier organización con 50+ empleados o 10 M€+ de facturación en un sector cubierto queda incluida.

E
Entidades esenciales (Anexo I supervisión proactiva)
Grandes organizaciones (250+ empleados o 50 M€+) en: energía, transporte, banca, sanidad, agua potable, aguas residuales, infraestructura digital, gestión TIC, administración pública y espacio. También proveedores de confianza cualificados, registros TLD y proveedores DNS sin límite de tamaño.
I
Entidades importantes (Anexo II supervisión reactiva)
Organizaciones medianas y grandes en: servicios postales, gestión de residuos, fabricación química, alimentación, fabricación de productos críticos (dispositivos médicos, electrónica, vehículos, maquinaria), proveedores digitales e investigación.

Complejidad transfronteriza: en enero de 2026, la Comisión propuso simplificar el cumplimiento para 28.700 organizaciones, incluidas más de 6.200 pymes.

Sectores afectados por NIS2

NIS2 amplía de 7 a 18 sectores:

Sectores de alta criticidad (Anexo I)

Energía · Transporte · Banca · Sanidad · Agua potable · Aguas residuales · Infraestructura digital (DNS, TLD, cloud, data centers, CDN, servicios de confianza) · Gestión de servicios TIC · Administración pública · Espacio

Otros sectores críticos (Anexo II)

Servicios postales · Residuos · Química · Alimentación · Fabricación de productos críticos · Proveedores digitales · Investigación

Nota banca: banca y mercados financieros están cubiertos por NIS2 pero también por DORA, que prevalece como regulación sectorial específica.

Requisitos de NIS2: las 10 medidas mínimas (Artículo 21)

El Artículo 21 define diez medidas mínimas que son tecnológicamente neutras y orientadas a resultados:

1
Políticas de análisis de riesgos y seguridad de sistemas
Marcos de gobernanza, evaluaciones de riesgos periódicas con enfoque multirriesgo, políticas de seguridad de redes y sistemas.
2
Gestión de incidentes
Procesos de detección, gestión y respuesta. Procedimientos de escalado, protocolos de comunicación, coordinación con CSIRT.
3
Continuidad de negocio y gestión de crisis
Copias de seguridad, recuperación ante desastres, gestión de crisis. Objetivos RTO y RPO probados.
4
Seguridad de la cadena de suministro
Evaluar ciberseguridad de proveedores, incluir requisitos en contratos, evaluaciones coordinadas (Artículo 22).
5
Seguridad en adquisición, desarrollo y mantenimiento de sistemas
Desarrollo seguro (SDLC), gestión de vulnerabilidades, divulgación coordinada.
6
Evaluación de la eficacia
Auditorías de seguridad, pruebas de penetración y evaluaciones de vulnerabilidades periódicas.
7
Ciberhigiene y formación en ciberseguridad
Concienciación para todos los empleados. Formación por roles. Formación obligatoria para alta dirección (Artículo 20).
8
Políticas de criptografía y cifrado
Cifrado de datos en reposo y en tránsito. Controles criptográficos ajustados a la sensibilidad de los datos.
9
Seguridad RRHH, control de acceso y gestión de activos
Inventarios de activos, privilegios mínimos, seguridad en todo el ciclo del empleado.
10
Autenticación multifactor y comunicaciones seguras
MFA o autenticación continua. Comunicaciones seguras de voz, vídeo y texto, incluidos sistemas de emergencia.

Principio de proporcionalidad: los controles deben ajustarse a la exposición al riesgo, tamaño e impacto socioeconómico. Las organizaciones con ISO 27001 cubren gran parte, pero suelen existir deficiencias en cadena de suministro, responsabilidad directiva, plazos de notificación y MFA.

Obligaciones de notificación de incidentes (Artículo 23)

El Artículo 23 establece un marco de notificación multifase para incidentes significativos:

24h
Alerta temprana
En 24 horas, notificación inicial al CSIRT. Indicar si es ilícito/malintencionado y si tiene impacto transfronterizo.
72h
Notificación del incidente
En 72 horas, informe detallado con evaluación de gravedad, impacto e indicadores de compromiso (IoC).
Informe intermedio
A petición, actualizaciones adicionales durante el incidente en curso.
1M
Informe final
En 1 mes: descripción, gravedad, causa raíz, medidas de mitigación e impactos transfronterizos.

NIS2 fomenta la notificación voluntaria de cuasi-incidentes y amenazas para la inteligencia colectiva de la UE a través de EU-CyCLONe.

Sanciones y cumplimiento

NIS2 introduce sanciones armonizadas comparables al RGPD:

Categoría Entidades esenciales Entidades importantes
Multa máxima 10 M€ o 2% facturación global anual 7 M€ o 1,4% facturación global anual
Supervisión Proactiva: auditorías, inspecciones y escaneos Reactiva: tras evidencia de incumplimiento
Responsabilidad directiva Alta dirección debe aprobar y supervisar medidas (Artículo 20). Personalmente responsable. Formación obligatoria. Posibles inhabilitaciones.
Poderes de ejecución Instrucciones vinculantes, medidas correctivas, divulgación pública obligatoria, auditorías ordenadas por reguladores.

Solapamiento RGPD: un incidente NIS2 puede ser también brecha RGPD. NIS2 no impondrá multa adicional por el mismo incidente, pero puede imponer otras sanciones no financieras.

¿Cómo Teldat facilita el cumplimiento de NIS2?

Cumplir con NIS2 exige detección de amenazas, seguridad de red, control de acceso, respuesta ante incidentes y monitorización continua. El portfolio de Teldat aborda múltiples obligaciones en entornos IT y OT:

be.Safe XDR: detección de amenazas, gestión de incidentes y evaluación de eficacia

be.Safe XDR proporciona visibilidad completa de red, detección con IA mediante modelos ML personalizados y respuesta automatizada. Soporta medidas 1, 2 y 6. Detección de anomalías en tiempo real en tráfico cifrado, UEBA, reconfiguración automática de red y análisis de tráfico a nivel 7.

be.Safe Pro: control de acceso, cifrado y seguridad de red

be.Safe Pro ofrece arquitectura SASE con SWG y NGFW para control de acceso granular, cifrado y seguridad a nivel de aplicación. Aborda medidas 8, 9 y 10. Más de 15.000 firmas IPS, 84 categorías de navegación, más de 4.000 decodificadores y ZTNA.

SD-WAN: continuidad de negocio y gestión de activos

La suite CNM SD-WAN proporciona orquestación centralizada con visibilidad, segmentación y aplicación de políticas. Soporta medidas 3 y 9. Arquitectura basada en API integrada con XDR para autorrecuperación de red. Desplegada en la mayor implementación SD-WAN + XDR de Europa en la Junta de Andalucía.

Certificación CPSTIC: Teldat posee la doble condición de Cualificado y Aprobado en el Catálogo CPSTIC (CCN/ENS) al nivel más alto (ENS Alta). Validación de alineamiento con el énfasis de NIS2 en tecnologías certificadas.

Preguntas frecuentes (FAQ’s)

❯ ¿Qué es la Directiva NIS2?

Normativa de ciberseguridad de la UE que exige a entidades esenciales e importantes de 18 sectores gestionar riesgos, notificar incidentes y asegurar la cadena de suministro. Afecta a más de 100.000 organizaciones.

❯ ¿Quién debe cumplir?

Organizaciones con 50+ empleados o 10 M€+ en sectores cubiertos. Entidades esenciales con supervisión proactiva. Entidades importantes con supervisión reactiva.

❯ ¿Cuáles son las 10 medidas mínimas?

Artículo 21: (1) análisis de riesgos, (2) incidentes, (3) continuidad, (4) cadena de suministro, (5) desarrollo seguro, (6) eficacia, (7) formación, (8) criptografía, (9) acceso/activos, (10) MFA/comunicaciones.

❯ ¿Cuáles son las sanciones?

Esenciales: hasta 10 M€ o 2%. Importantes: hasta 7 M€ o 1,4%. Alta dirección personalmente responsable. Posibles inhabilitaciones.

❯ ¿NIS1 vs NIS2?

De 7 a 18 sectores, reglas automáticas, sanciones armonizadas, notificación 24h/72h/1 mes, responsabilidad ejecutiva, cadena de suministro.

❯ ¿Plazos de notificación?

24h: alerta temprana. 72h: notificación detallada. A petición: informes intermedios. 1 mes: informe final.

Prepara tu organización para el cumplimiento de NIS2

Las soluciones integradas de ciberseguridad y redes de Teldat ayudan a construir la postura de seguridad que exige NIS2 desde la detección de amenazas hasta la respuesta ante incidentes.