Skip to content
  • Desarrollo Convierte a tu área de desarrollo en el acelerador de negocio que necesitas.
  • Operaciones Servicios integrales para la externalización de actividades.
  • Sistemas Ayudamos a la transición de entornos tradicionales a cloud.
  • Talento Conectamos el mejor talento con las principales empresas líderes.
  • Cumplimiento Tecnologías para transformar cualquier sector de actividad.
  • Organización Soluciones integrales para optimizar la organización empresarial.
  • plus Concilia
    Automatiza la conciliación de grandes volúmenes de datos de diversas fuentes para detectar y resolver discrepancias.
  • Administración Local Apuesta por la innovación con nuestras soluciones tecnológicas.
  • Emergencias Soluciones para la gestión de centros de coordinación y de control.
  • Salud Nuevas formas de atención por y para el ciudadano.
  • Telco & Utilities Te acompañamos en el camino hacia la eficiencia y la digitalización.
  • Banca Servicios personalizados para el sector bancario.
  • Real Estate Ayudamos al sector inmobiliario para su transformación digital.
  • Seguros Ayudamos a fortalecer la confianza del cliente y aumentar la demanda.
  • plus Agile Plan
    Plataforma de desarrollo rápido, que permite crear soluciones completas flexibles de forma rápida, orientadas a procesos colaborativos e integradas con los sistemas de la Organización a un precio muy competitivo
  • Historia Más de 50 años haciendo más fácil la tecnología.
  • Responsabilidad corporativa Construimos un futuro tecnológico para ayudar a la sociedad a prosperar.
  • Certificaciones y homologaciones Cumplimos con los requisitos legales y reglamentarios a nivel global.
  • Dónde Estamos Encuentra tus oficinas de Cibernos más cercanas.
  • plus 50 Años de Cibernos
    Vídeo promocional por el 50 aniversario de la empresa
  • Blog Lo último en consultoría, servicios y nuevas tecnologías.
  • Descargables Acceso a contenidos de nuestros servicios y soluciones.
  • plus Presentación corporativa
    Conoce quiénes somos, dónde estamos, cuáles son nuestras soluciones y cómo podemos ayudarte a través de nuestra oferta de servicios y soluciones tecnológicos.
  • Que ofrecemos Descubre lo que ofrecemos y disfruta de los beneficios de trabajar en Cibernos.
  • Qué buscamos Conoce a quién buscamos y comprueba si tu perfil encaja con Cibernos.
  • Envíanos tu CV Envíanos tu CV y da el primer paso para formar parte de Cibernos.
  • plus Cibernos Linkedin
    🆕Cibernos amplía su presencia en LATAM y abre operaciones en Chile Cibernos, empresa española que provee servicios y soluciones ...

    • NIS2: Nuevas Obligaciones de Seguridad Propia y de Terceros para las Empresas Europeas

    Con la entrada en vigor de la Directiva NIS2 (Network and Information Security Directive 2), la Unión Europea ha elevado considerablemente el listón en materia de ciberseguridad. Esta nueva normativa, que reemplaza a la original Directiva NIS de 2016, impone exigencias más estrictas, responsabilidad directa a la alta dirección y mayores sanciones económicas a empresas de sectores críticos y esenciales. 

    Uno de los aspectos más destacados de NIS2 es su enfoque integral: no solo obliga a las empresas a proteger su propia infraestructura digital, sino también a garantizar que sus proveedores y socios cumplan con estándares similares. La era de externalizar riesgos de ciberseguridad ha terminado. A continuación, desglosamos sus implicaciones clave. 

    ¿Qué es NIS2 y a quién aplica? 

    La Directiva NIS2 fue adoptada por el Parlamento Europeo en 2022 y los Estados miembros tuvieron que transponerla a su legislación nacional antes del 17 de octubre de 2024. 

    A diferencia de su predecesora, NIS2 amplía considerablemente su alcance. Afecta a empresas tanto del sector público como privado que operan en industrias consideradas esenciales (como energía, transporte, salud, agua, finanzas o telecomunicaciones), así como en sectores importantes (fabricación digital, alimentos, productos químicos, entre otros). Se estima que más de 160.000 empresas en Europa estarán sujetas a estas nuevas normativas. 

    Seguridad propia: controles obligatorios 

    La directiva establece un conjunto mínimo de medidas técnicas y organizativas que las empresas deben implementar, incluyendo: 

    • Evaluación de riesgos y políticas de gestión. 
    • Gestión de incidentes de seguridad. 
    • Continuidad del negocio y recuperación ante desastres. 
    • Seguridad de la cadena de suministro. 
    • Cifrado y gestión de acceso seguro. 
    • Monitorización de redes y sistemas críticos. 

    Estas medidas ya no son recomendaciones: son obligaciones legales. Y el incumplimiento puede derivar en consecuencias económicas y reputacionales severas. 

    Seguridad de terceros: la cadena de suministro bajo la lupa 

    Uno de los mayores cambios de NIS2 es su énfasis en la seguridad de la cadena de suministro. Las empresas ya no pueden limitar su responsabilidad a sus propias instalaciones o redes internas. Ahora deben: 

    • Evaluar el riesgo que presentan sus proveedores y contratistas. 
    • Establecer criterios de seguridad en los contratos con terceros. 
    • Supervisar el cumplimiento de estas obligaciones. 
    • Aplicar controles equivalentes a los utilizados internamente. 

    Esto implica que si un proveedor sufre un ciberataque y afecta a la empresa contratante, ambas pueden ser consideradas responsables. Esta disposición busca evitar incidentes como el ataque a SolarWinds, que impactó a miles de organizaciones a través de una cadena de suministro comprometida. 

    La alta dirección: responsables por ley

    Uno de los puntos más contundentes de NIS2 es la responsabilidad directa de los directivos. La normativa establece que los órganos de administración (como consejos de dirección o ejecutivos de nivel C) deben: 

    • Supervisar activamente las políticas de ciberseguridad. 
    • Aprobar e implementar estrategias de gestión de riesgos. 
    • Recibir formación periódica en materia de ciberseguridad. 
    • Responder legalmente en caso de negligencia o incumplimiento. 

    Esto marca un cambio de paradigma: la ciberseguridad ya no es solo tarea del departamento IT, sino una prioridad estratégica de la dirección empresarial. La falta de implicación puede derivar en consecuencias legales individuales para los directivos. 

    Sanciones: multas severas por incumplimiento 

    NIS2 introduce un régimen sancionador alineado con el modelo del RGPD (Reglamento General de Protección de Datos), con multas que pueden alcanzar: 

    • Hasta 10 millones de euros, o 
    • El 2% del volumen de negocios mundial anual de la empresa infractora, lo que sea mayor. 

    Estas sanciones no solo se aplican por brechas de datos, sino también por fallos en la prevención, supervisión o mitigación de riesgos. Incluso la falta de notificación oportuna de un incidente puede acarrear sanciones. 

    Obligación de notificar incidentes 

    Las empresas cubiertas por NIS2 deberán notificar incidentes de seguridad con impacto significativo en un plazo muy breve: 

    • 24 horas tras haberlo detectado para una notificación preliminar. 
    • 72 horas para un informe detallado. 
    • Un informe final puede ser exigido dentro de los 30 días posteriores. 

    El objetivo es asegurar una respuesta rápida, coordinada y transparente que limite el daño y permita a otras organizaciones protegerse a tiempo. 

    ¿Qué deben hacer las empresas ahora? 

    Con la fecha límite de aplicación acercándose, las organizaciones deben actuar con urgencia. Aquí algunos pasos recomendados: 

    • Realizar un análisis de brechas entre la situación actual y las exigencias de NIS2. 
    • Establecer un programa de auditoría interna que incluya revisión de terceros. 
    • Actualizar contratos para incluir cláusulas de ciberseguridad específicas. 
    • Formar a la alta dirección en su rol y responsabilidades. 
    • Establecer canales claros de notificación y respuesta ante incidentes. 

    Conclusión: una nueva era de responsabilidad compartida 

    La Directiva NIS2 no solo endurece las medidas de protección: cambia la filosofía de la ciberseguridad empresarial. Ahora, la seguridad digital es una obligación estratégica, transversal y compartida. Exige compromiso desde el proveedor más pequeño hasta el CEO de la multinacional. 

    Para cumplirla, no basta con instalar un firewall o actualizar el antivirus. Se necesita gobernanza, supervisión activa y colaboración en toda la cadena de valor. Ignorar estas obligaciones no solo expone a las empresas a ataques, sino también a sanciones millonarias y a la pérdida de confianza de clientes y socios. 

    El mensaje de NIS2 es claro: la ciberseguridad es responsabilidad de todos y empieza desde arriba. 

     

     

     

     

    Escrito por:

    Jesús Manuel Dorta Ramos

    Responsable de la UN Ciberseguridad y proyectos especiales en Cibernos Sistemas SL

    Experto en ciberseguridad con más de 15 años de experiencia en Defensa y Fuerzas de Seguridad, especializado en la implementación de marcos normativos críticos como ENS, NIS2 y DORA. Precursor en la integración de IA Generativa aplicada a ciberseguridad y ciberinteligencia, dirigiendo equipos y proyectos especiales que protegen infraestructuras críticas y empresas.

     



    Seguir leyendo