NIS2: lo que la nueva directiva europea cambia en ciberseguridad

javi
Candado digital simbolizando ciberseguridad

La Directiva NIS2 (Network and Information Security 2), aprobada en diciembre de 2022 y con plazo de transposición hasta octubre de 2024, amplía sustancialmente el marco europeo de ciberseguridad. Sustituye a NIS1 de 2016 y supone el mayor cambio regulatorio en ciberseguridad para organizaciones europeas desde la entrada en vigor del RGPD. Para equipos técnicos, entender sus implicaciones práctico es tarea de 2023.

Qué cambia respecto a NIS1

NIS1 cubría un conjunto reducido de sectores (“operadores de servicios esenciales”) y dejaba mucha discrecionalidad a cada Estado miembro en cómo interpretarla. El resultado fue una aplicación desigual y un alcance limitado. NIS2 corrige las tres carencias principales:

  • Alcance ampliado. Pasa de 7 sectores a 18, cubriendo ahora salud, administración pública digital, servicios postales, gestión de residuos, espacio, investigación, entre otros. Las “medianas y grandes” empresas de esos sectores caen dentro del ámbito automáticamente.
  • Medidas mínimas más concretas. NIS1 exigía “medidas técnicas y organizativas apropiadas”; NIS2 lista 10 categorías específicas: gestión de riesgos, respuesta a incidentes, continuidad de negocio, seguridad de la cadena de suministro, cifrado, formación, control de accesos, MFA, políticas de vulnerabilidades y auditorías.
  • Sanciones alineadas con RGPD. Hasta 10 millones de euros o el 2% de la facturación anual global, lo que sea mayor. NIS1 apenas imponía sanciones reseñables.

Además, la responsabilidad de los órganos directivos es explícita: un CEO o CTO puede responder personalmente por incumplimientos graves.

Obligaciones que se vuelven críticas

Para equipos de operaciones y desarrollo, tres áreas concentran la mayor carga de trabajo:

Notificación de incidentes

NIS2 introduce una escalada temporal de notificación obligatoria:

  1. 24 horas desde la detección: alerta temprana a la autoridad competente.
  2. 72 horas: notificación con evaluación inicial.
  3. 30 días: informe final con detalle de causas, impacto y medidas correctivas.

Esto convierte el incident response en un procedimiento con runbook y cronómetro. Para equipos que actualmente gestionan incidentes con prácticas informales, es la mayor inversión que pide la directiva.

Seguridad de la cadena de suministro

Por primera vez la regulación europea aborda explícitamente la cadena de suministro. Si usas proveedores SaaS, servicios cloud, librerías open-source con riesgo crítico o contratistas con acceso a sistemas: tienes que evaluar y documentar su seguridad. No basta con que tu sistema sea seguro — el conjunto de la cadena también.

Esto enlaza con tecnologías como Sigstore y SLSA que hacen trazable la procedencia del software. Adoptar estas capas antes de 2024 reduce significativamente el esfuerzo de cumplimiento futuro.

Autenticación multifactor obligatoria

MFA deja de ser recomendado y pasa a ser obligatorio para todos los accesos privilegiados. Para infraestructuras con SSH tradicional, paneles de administración, cuentas de servicio cloud — toda cuenta con capacidad de causar un impacto operativo significativo — MFA debe estar activo. La forma concreta (TOTP, WebAuthn, llaves hardware) queda a discreción del operador, pero la ausencia de MFA es una no-conformidad directa.

Quién está incluido

NIS2 distingue dos niveles:

  • Entidades esenciales (energía, transporte, banca, agua, salud, infraestructura digital): medidas más estrictas y supervisión ex ante.
  • Entidades importantes (administración digital, postal, química, investigación, manufactura digital, SaaS, redes sociales medianas): mismas obligaciones técnicas, supervisión ex post.

El umbral: medianas (50+ empleados o 10+ M€ de facturación) y grandes empresas de esos sectores. Algunas excepciones aplican para entidades pequeñas que operen servicios críticos.

Para saber si tu organización entra, la European Union Agency for Cybersecurity (ENISA) mantiene una guía de sectores actualizada.

Plan de preparación 2023-2024

Un roadmap típico para organizaciones que empiezan a prepararse:

  1. Q3 2023: Assessment de brecha. Auditoría contra las 10 medidas. ¿Qué existe documentado, qué existe de facto pero sin documentación, qué falta?
  2. Q4 2023: Plan de remediación priorizado. MFA, inventario de proveedores críticos, runbooks de incidentes. Estos tres elementos son los que más tiempo consumen — empezar ya evita aprietos en 2024.
  3. H1 2024: Ejecución. Implementación de los controles faltantes. Pruebas de incidente simulado (tabletop exercises).
  4. H2 2024: Validación. Auditoría final antes de la fecha límite de transposición de cada Estado miembro (octubre 2024 como tope).

Organizaciones que ya cumplen ISO 27001 o que adoptan un marco como CIS Controls parten con mucha ventaja.

Relacionado, ver nuestra cobertura sobre cómo escribir alertas que no se ignoren — NIS2 exige detección robusta, y el diseño de alertas es parte crítica de esa capacidad.

Conclusión

NIS2 no es una regulación optativa ni fácil de postergar. Su impacto en el día a día del equipo técnico va desde política de accesos hasta diseño de sistemas de detección. Empezar la preparación ahora, en 2023, es la única forma realista de llegar en forma a la fecha límite de octubre 2024.

Síguenos en jacar.es para más sobre ciberseguridad, compliance y operaciones de plataforma.

Entradas relacionadas