NIS2: Nuevas Obligaciones de Seguridad Propia y de Terceros para las Empresas Europeas

Con la entrada en vigor de la Directiva NIS2 (Network and Information Security Directive 2), la Unión Europea ha elevado considerablemente el listón en materia de ciberseguridad. Esta nueva normativa, que reemplaza a la original Directiva NIS de 2016, impone exigencias más estrictas, responsabilidad directa a la alta dirección y mayores sanciones económicas a empresas de sectores críticos y esenciales. 

Uno de los aspectos más destacados de NIS2 es su enfoque integral: no solo obliga a las empresas a proteger su propia infraestructura digital, sino también a garantizar que sus proveedores y socios cumplan con estándares similares. La era de externalizar riesgos de ciberseguridad ha terminado. A continuación, desglosamos sus implicaciones clave. 

¿Qué es NIS2 y a quién aplica? 

La Directiva NIS2 fue adoptada por el Parlamento Europeo en 2022 y los Estados miembros tuvieron que transponerla a su legislación nacional antes del 17 de octubre de 2024. 

A diferencia de su predecesora, NIS2 amplía considerablemente su alcance. Afecta a empresas tanto del sector público como privado que operan en industrias consideradas esenciales (como energía, transporte, salud, agua, finanzas o telecomunicaciones), así como en sectores importantes (fabricación digital, alimentos, productos químicos, entre otros). Se estima que más de 160.000 empresas en Europa estarán sujetas a estas nuevas normativas. 

Seguridad propia: controles obligatorios 

La directiva establece un conjunto mínimo de medidas técnicas y organizativas que las empresas deben implementar, incluyendo: 

• Evaluación de riesgos y políticas de gestión. 

• Gestión de incidentes de seguridad. 

• Continuidad del negocio y recuperación ante desastres. 

• Seguridad de la cadena de suministro. 

• Cifrado y gestión de acceso seguro. 

• Monitorización de redes y sistemas críticos. 

Estas medidas ya no son recomendaciones: son obligaciones legales. Y el incumplimiento puede derivar en consecuencias económicas y reputacionales severas. 

Seguridad de terceros: la cadena de suministro bajo la lupa 

Uno de los mayores cambios de NIS2 es su énfasis en la seguridad de la cadena de suministro. Las empresas ya no pueden limitar su responsabilidad a sus propias instalaciones o redes internas. Ahora deben: 

• Evaluar el riesgo que presentan sus proveedores y contratistas. 

• Establecer criterios de seguridad en los contratos con terceros. 

• Supervisar el cumplimiento de estas obligaciones. 

• Aplicar controles equivalentes a los utilizados internamente. 

Esto implica que si un proveedor sufre un ciberataque y afecta a la empresa contratante, ambas pueden ser consideradas responsables. Esta disposición busca evitar incidentes como el ataque a SolarWinds, que impactó a miles de organizaciones a través de una cadena de suministro comprometida. 

La alta dirección: responsables por ley

Uno de los puntos más contundentes de NIS2 es la responsabilidad directa de los directivos. La normativa establece que los órganos de administración (como consejos de dirección o ejecutivos de nivel C) deben: 

• Supervisar activamente las políticas de ciberseguridad. 

• Aprobar e implementar estrategias de gestión de riesgos. 

• Recibir formación periódica en materia de ciberseguridad. 

• Responder legalmente en caso de negligencia o incumplimiento. 

Esto marca un cambio de paradigma: la ciberseguridad ya no es solo tarea del departamento IT, sino una prioridad estratégica de la dirección empresarial. La falta de implicación puede derivar en consecuencias legales individuales para los directivos. 

Sanciones: multas severas por incumplimiento 

NIS2 introduce un régimen sancionador alineado con el modelo del RGPD (Reglamento General de Protección de Datos), con multas que pueden alcanzar: 

• Hasta 10 millones de euros, o 

• El 2% del volumen de negocios mundial anual de la empresa infractora, lo que sea mayor. 

Estas sanciones no solo se aplican por brechas de datos, sino también por fallos en la prevención, supervisión o mitigación de riesgos. Incluso la falta de notificación oportuna de un incidente puede acarrear sanciones. 

Obligación de notificar incidentes 

Las empresas cubiertas por NIS2 deberán notificar incidentes de seguridad con impacto significativo en un plazo muy breve: 

• 24 horas tras haberlo detectado para una notificación preliminar. 

• 72 horas para un informe detallado. 

• Un informe final puede ser exigido dentro de los 30 días posteriores. 

El objetivo es asegurar una respuesta rápida, coordinada y transparente que limite el daño y permita a otras organizaciones protegerse a tiempo. 

¿Qué deben hacer las empresas ahora? 

Con la fecha límite de aplicación acercándose, las organizaciones deben actuar con urgencia. Aquí algunos pasos recomendados: 

• Realizar un análisis de brechas entre la situación actual y las exigencias de NIS2. 

• Establecer un programa de auditoría interna que incluya revisión de terceros. 

• Actualizar contratos para incluir cláusulas de ciberseguridad específicas. 

• Formar a la alta dirección en su rol y responsabilidades. 
• Establecer canales claros de notificación y respuesta ante incidentes. 

Conclusión: una nueva era de responsabilidad compartida 

La Directiva NIS2 no solo endurece las medidas de protección: cambia la filosofía de la ciberseguridad empresarial. Ahora, la seguridad digital es una obligación estratégica, transversal y compartida. Exige compromiso desde el proveedor más pequeño hasta el CEO de la multinacional. 

Para cumplirla, no basta con instalar un firewall o actualizar el antivirus. Se necesita gobernanza, supervisión activa y colaboración en toda la cadena de valor. Ignorar estas obligaciones no solo expone a las empresas a ataques, sino también a sanciones millonarias y a la pérdida de confianza de clientes y socios. 

El mensaje de NIS2 es claro: la ciberseguridad es responsabilidad de todos y empieza desde arriba.