NIS2: Actuar ahora con medidas planificadas y controladas para evitar costosas consecuencias
Last update: 07.11.2025
El 24 de julio, el Gabinete Federal alemán aprobó el proyecto gubernamental de Ley de Aplicación de la NIS2 y Refuerzo de la Ciberseguridad. Esto supone un paso importante hacia la incorporación de la Directiva NIS2 a la legislación alemana. Se espera que algo similar se aplique también en otros países europeos.
El proceso legislativo parlamentario ha comenzado con la publicación del proyecto del Gobierno. Aunque no se esperan cambios significativos, se prevé que el proceso dure hasta la primavera de 2025. Aunque las nuevas obligaciones sólo se aplicarán en Alemania cuando entre en vigor la NIS2UmsuCG, las organizaciones afectadas deben familiarizarse con los requisitos y tomar medidas para su aplicación.
Este documento le proporcionará:
- Lo que necesita saber sobre NIS2
- A quién afecta
- Cómo puede prepararse ahora
La importancia de NIS2
Con la rápida digitalización de la vida cotidiana, la protección contra las ciberamenazas se ha vuelto esencial para el buen funcionamiento de la sociedad. Por ello, el Parlamento Europeo ha actualizado la legislación de la UE con una serie de nuevas normas sobre ciberseguridad. La ciberseguridad engloba todas las actividades necesarias para proteger las redes y los sistemas de información, a sus usuarios y a otras personas afectadas por las ciberamenazas.
La normativa de mayor alcance en la Unión Europea es la Directiva revisada sobre seguridad de las redes y sistemas de información(Directiva NIS2), que sustituye a la Directiva de 2016. En vigor desde el 16 de enero de 2023, la Directiva NIS2 debe aplicarse en todos los Estados miembros de la UE antes del 17 de octubre de 2024. Se aplica a un mayor número de organizaciones en una amplia gama de sectores.
La Directiva pretende aumentar el nivel de ciberseguridad en la UE, reforzando la resistencia frente a los ciberataques. La Ministra Federal del Interior alemana, Nancy Faeser, ha resumido los objetivos de la NIS2UmsuCG en Alemania:
"La situación de amenaza en el ámbito de la ciberseguridad sigue siendo elevada... Con nuestra ley, estamos aumentando la protección contra los ciberataques, independientemente de si están dirigidos por el Estado o tienen una motivación criminal. En el futuro, más empresas de más sectores tendrán que cumplir unas normas mínimas de ciberseguridad y obligaciones de notificación de incidentes cibernéticos"
Nancy Faeser
¿Más allá del cumplimiento?
El cumplimiento de los requisitos legales mínimos de la NIS2 y las normas que la acompañan es un punto de partida importante para muchas organizaciones. Estos requisitos y normas proporcionan un amplio marco que a menudo sitúa por primera vez en el punto de mira de la gestión de la seguridad de la información áreas ajenas a las TI (los denominados "puntos ciegos") que hasta ahora se habían descuidado. Al fin y al cabo, la ciberseguridad ya no es sólo una cuestión técnica de TI, sino un asunto que requiere la participación activa de toda la organización, desde la tecnología hasta la producción, pasando por las ventas y la gestión.
Sin embargo, quienes deseen utilizar los recursos de forma eficaz a largo plazo hacen bien en no limitarse a cumplir las leyes y normas de conformidad desde el principio, sino superarlas. El cumplimiento no equivale automáticamente a seguridad contra el robo, la manipulación y la publicación de información crítica para la empresa o titulares negativos de gran alcance mediático. Por esta razón, el legislador ha basado los requisitos de la NIS2 en un planteamiento basado en el riesgo. En consecuencia, las organizaciones afectadas pueden decidir las medidas técnicas, operativas y organizativas adecuadas y proporcionadas, teniendo en cuenta la probabilidad de que se produzcan incidentes de seguridad y su gravedad (incluidas las repercusiones sociales y económicas).
Este enfoque pretende fomentar el desarrollo eficaz de sistemas resistentes en lugar del cumplimiento eficiente de requisitos rígidos. En lugar de ralentizar la actividad empresarial, unos controles eficaces de la seguridad de la información permiten a las organizaciones avanzar más rápidamente hacia un futuro digital.
¿A quién afecta?
La Directiva NIS2 amplía el ámbito de aplicación de su predecesora de 2016 a once sectores "muy críticos", como la energía, el transporte, la banca, la administración pública y la sanidad. También afecta a otros sectores "críticos", como los servicios postales y de mensajería, la producción, transformación y distribución de alimentos y los servicios digitales.
Incluso las organizaciones que no pertenecen directamente a estos sectores pero actúan como proveedores o socios pueden verse afectadas indirectamente por la Directiva NIS2. También ellas pueden representar potenciales puertas de entrada para los ciberataques.
Requisitos y obligaciones clave
Las organizaciones afectadas deben cumplir amplios requisitos de ciberseguridad. Entre ellos figuran, en particular, la responsabilidad de los órganos de dirección y la formación periódica de todos los empleados en materia de ciberseguridad (artículo 20), las medidas de gestión de riesgos, incluidos los análisis periódicos de riesgos, la gestión de los incidentes de seguridad y el mantenimiento de las operaciones (artículo 21), la presentación de informes específicos (artículo 23) y las obligaciones de documentación (considerando 122).
Los órganos de dirección deben aprobar las medidas de gestión de riesgos adoptadas, supervisar su aplicación y ser personalmente responsables en caso de incumplimiento de sus obligaciones. En caso de incidentes de seguridad significativos, las empresas deben emitir una alerta rápida en un plazo de 24 horas, presentar una evaluación inicial en un plazo de 72 horas y presentar un informe final detallado a más tardar un mes después de la evaluación. Sin embargo, la directiva también hace hincapié en la importancia de la seguridad en la cadena de suministro. Las empresas deben examinar sus relaciones con los proveedores y llevar a cabo evaluaciones de riesgos.
Nuevas normas de ciberseguridad de la UE
Para fomentar la ciberresiliencia y combatir la ciberdelincuencia, el legislador de la UE ha promulgado otras normas de ciberseguridad junto a la Directiva NIS2. Entre ellas figuran:
- Directiva de la UE sobre la resiliencia de las entidades críticas (Directiva CER): Los Estados miembros deben identificar las entidades críticas y reforzar su resistencia física frente a amenazas como peligros naturales, atentados terroristas o sabotajes.
- Ley de Resiliencia Operativa Digital (DORA): Contiene normas para que el sector financiero proteja, detecte, contenga y se recupere de los riesgos en el ámbito de las tecnologías de la información y la comunicación.
- Ley de Ciberseguridad de la UE: Establece un sistema de certificación para toda la UE y un mandato nuevo y más fuerte para la Agencia de Ciberseguridad de la UE.
- Ley de Ciberresiliencia: Introduce requisitos vinculantes de ciberseguridad para los productos con elementos digitales.
¿Qué puede hacer hoy?
La Directiva NIS2 presenta importantes retos para las organizaciones afectadas, pero también ofrece la oportunidad de mejorar significativamente su ciberseguridad. Un enfoque holístico que vaya más allá de las TI y proporcione bases para la toma de decisiones basadas en el riesgo permite a las organizaciones no sólo cumplir los requisitos de la Directiva NIS2, sino también reforzar su resistencia general.
Para Alemania:
La resolución del Bundestag alemán sobre la denominada NIS2-Umsetzungs-und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) sigue pendiente. Sin embargo, la BSI ya ha publicado unas orientaciones iniciales útiles, que podemos ayudarle a aplicar. Creemos que algo similar aparecerá también en los demás países europeos.
A1 Digital da la bienvenida a NIS2
A1 Digital considera que la Directiva NIS2 es un paso importante para aumentar el nivel general de ciberseguridad en la UE. Ayudamos a las organizaciones a comprender sus riesgos y a impulsar activamente sus medidas de gestión de riesgos. Para ello, desarrollamos soluciones adaptadas a las necesidades individuales de cada organización.
Además, ofrecemos a nuestros clientes nuestra experiencia en seguridad tecnológica operativa para ayudar a las organizaciones a proteger sus sistemas industriales e infraestructuras críticas. Consideramos que el enfoque de la seguridad de la información basado en el riesgo y la evaluación correspondiente son los más eficaces para proteger las infraestructuras críticas.
