¿De qué trata la Directiva NIS 2?

La Directiva sobre Seguridad de las Redes y los Sistemas Informáticos (NIS 2) de la UE actualizada entró en vigor en enero de 2023. Los estados miembros tienen hasta el 17 de octubre de 2024 para trasladarla a la legislación nacional. ¿Qué significa esto y cómo prepararse?

La Directiva NIS2 (Network and Information Security Directive 2) es una evolución de la primera directiva NIS (de 2016), diseñada para elevar el nivel de ciberseguridad de los Estados miembros de la Unión Europea. La nueva versión, adoptada en enero de 2023, refuerza los requisitos de seguridad y amplía el número de sectores y entidades obligadas a cumplirla.

Su objetivo es claro: garantizar que los servicios esenciales para la sociedad y la economía funcionen incluso en caso de ciberataques, fallos tecnológicos o amenazas digitales.

Una de las principales diferencias con respecto a la primera versión de la directiva es que NIS2 amplía el espectro de empresas y sectores obligados.

La normativa se aplica a dos grandes categorías:

1. Entidades esenciales

Estas son empresas que prestan servicios fundamentales y cuya interrupción tendría un gran impacto en la sociedad o la economía. Algunos sectores clave son:

Energía (electricidad)

Transporte aéreo (compañías aereas, entidades gestoras u operadores de control del tránsito aéreo).

Entidades de crédito, banca, grandes empresas.

Infraestructura digital

Sector sanitario

Suministradores y distribuidores de aguas destinadas al consumo humano.

Grandes empresas de gestión de servicios de TIC

2. Entidades importantes

Incluye a empresas de sectores estratégicos que, aunque no son críticas, tienen un papel relevante en la cadena de suministro o en la prestación de servicios. Algunos ejemplos:

Proveedores TIC (software, plataformas, servicios gestionados)

Transporte por ferrocarril (administradores de infraestructura o empresas ferroviarias)

Fabricantes de productos electrónicos

Correos y logística

Alimentación

Productos químicos

En general, la NIS2 se aplica a empresas medianas y grandes (más de 50 empleados o más de 10 millones de euros de facturación). No obstante, las microempresas también pueden estar sujetas si son claves para la seguridad nacional o prestan servicios esenciales. Puedes consultar en este documento del Incibe el listado de entidades y su clasificación como entidades esenciales o importantes.

ESTRUCTUCTURA Y ELEMENTOS NIS 2 APLICADOS EN LA EMPRESA:

Documentación Estratégica y de Gobierno

1. Organigrama actualizado de la empresa

2. Descripción de procesos operativos críticos (logísticos, aduaneros, almacén)

3. Política de Seguridad de la Información (si existe)

4. Política de Gestión de Riesgos corporativa

5. Asignación de roles y responsabilidades en seguridad (RACI)

6. Actas del Comité de Seguridad/IT (últimos 12 meses)

B. Documentación Técnica IT/OT

7. Inventario de activos TI:

o Servidores, equipos críticos

o Aplicaciones empresariales (ERP, WMS, TMS)

o Infraestructura de red

8. Inventario de activos OT (Operational Technology):

o Sistemas de almacén automatizado

o Dispositivos IoT y sensores

o Sistemas SCADA en instalaciones

o Equipos de control de flotas

9. Mapa/Diagrama de red (alto nivel)

10. Arquitectura de sistemas críticos

C. Gestión de Incidentes y Continuidad

11. Política/procedimiento de gestión de incidentes de seguridad

12. Registro de incidentes de seguridad (últimos 24 meses)

13. Plan de Continuidad del Negocio (BCP) y Plan de Recuperación ante Desastres (DRP)

14. Resultados de tests/exercicios de continuidad realizados

15. Acuerdos de Nivel de Servicio (SLAs) críticos

D. Gestión de Terceros y Cadena de Suministro

16. Listado de proveedores críticos de servicios digitales:

" Proveedores cloud (AWS, Azure, etc.)

" Operadores logísticos subcontratados

" Proveedores de software crítico (ERP, WMS)

" Servicios de comunicaciones

17. Contratos con cláusulas de seguridad con proveedores críticos

18. Evaluaciones de riesgos de proveedores realizadas

19. Procedimiento de gestión de terceros

F. Operativa de Seguridad

24. Políticas de control de acceso (físico y lógico)

25. Procedimiento de gestión de vulnerabilidades

26. Política de backup y recuperación

27. Procedimientos de hardening de sistemas

28. Registros de formación/concienciación en seguridad

Certificación en la NIS 2

La NIS 2 no exige que las entidades esenciales e importantes obtengan ninguna certificación.

Sin embargo, los Estados miembros (o la Comisión de la UE) pueden exigir a esas entidades que utilicen productos o servicios de TIC concretos que cuenten con certificación según el esquema europeo de certificación de la ciberseguridad de acuerdo con la normativa sobre ciberseguridad (Reglamento de la UE 2019/881).