Saltar al contenido principal

01 de julio de 2025 - Tiempo de lectura 5 min

¿Qué es la Directiva NIS2 y cómo afecta a las empresas?

Las empresas se enfrentan de forma creciente a una avalancha de riesgos y de ciberataques que merman su productividad y competitividad. Ante este panorama, y con el objetivo de fortalecer la resiliencia digital, la Unión Europea desarrolló la Directiva NIS2 que entró en vigor el 16 de enero de 2023.

Esta norma sustituye a la Directiva NIS original de 2016 y supone una ampliación del marco regulatorio existente. Su objetivo es ampliar el número de empresas que tienen que cumplir la normativa y establecer requisitos más estrictos y claros para la gestión de los riesgos de ciberseguridad.
Qué es la directiva NIS2 y cómo afecta a las empresas


Qué regula la Directiva NIS2 en materia de ciberseguridad

La Directiva NIS2 pretende ser el pilar fundamental para garantizar la ciberprotección en la Unión Europea. Su objetivo principal es reforzar el nivel general de ciberseguridad de los Estados miembros mediante la mejora de la resiliencia de las entidades públicas y privadas que prestan servicios esenciales o importantes para la sociedad. En esencia, la NIS2 busca estandarizar y elevar los requisitos de ciberseguridad de los países europeos, eliminando las deficiencias de la primera Directiva NIS de 2016 y adaptándose a la evolución de las ciberamenazas.

Sectores afectados por la Directiva NIS2

El principal cambio que incorpora la NIS2 es que amplía el número de empresas y organismos que tienen que cumplir con ella. Así, sectores considerados críticos como el energético, el de la banca, el de infraestructuras del sector financiero, el dedicado a la gestión de aguas, el sanitario, el de transporte, los proveedores de servicios TIC, el sector manufacturero o las administraciones públicas, entre otros tienen la obligación de cumplir con la norma. Lo más importante es que la NIS2 afecta tanto a grandes empresas como a aquellas pymes que operen en alguno de estos sectores que son considerados de vital importancia para la seguridad y el funcionamiento de los países de la Unión Europea.

Además de estos sectores críticos, la NIS2 introduce la categoría de entidades importantes, en las que se incluyen empresas que operan en sectores que, si bien no son tan críticos como los esenciales, su interrupción podría tener un impacto significativo. A esta categoría pertenecen los servicios postales y de mensajería; las empresas de gestión de residuos, las compañías del sector químico y las del sector alimentario, así como las dedicadas a la fabricación de productos y dispositivos médicos, informáticos y electrónicos y equipos de transporte. La lista se completa con los proveedores digitales y las organizaciones de investigación.

Obligaciones clave de las empresas bajo la NIS2

Para las empresas, adaptarse a la NIS2, supone tener que realizar una revisión exhaustiva de sus políticas y procedimientos de ciberseguridad. Algunos de los aspectos que tienen que revisar para cumplir con la normativa europea son la actualización de los sistemas de seguridad, la implementación de nuevas tecnologías de protección, y la formación del personal en prácticas de ciberseguridad. Además, las organizaciones deben establecer mecanismos de respuesta a incidentes y planes de continuidad del negocio que minimicen el impacto de posibles ciberataques.

Otra de las obligaciones que incorpora la NIS2 es la de establecer protocolos para la detección, el análisis y la notificación de ciberincidentes. En este sentido, la directiva incluye la obligación de notificar incidentes graves en un plazo máximo de 24 horas a las autoridades competentes y comunicarlo a los clientes si les afecta directamente.

Entre las obligaciones de las empresas en el marco de la NIS2 también se incluye la designación de responsables de ciberseguridad y el establecimiento de un control sobre aquellos proveedores y subcontratistas que tengan acceso a sistemas críticos, exigiendo medidas de seguridad y revisando contratos y acuerdos de nivel de servicio o SLAs.

El cambio más importante que han implementado las empresas para cumplir con la NIS2 es la responsabilidad personal de los altos ejecutivos en caso de incumplir con la nueva legislación. Esto, junto con un cambio en la cultura de ciberseguridad de la empresa, ha modificado de forma notable las estrategias empresariales, ya que la NIS2 ha obligado a la alta dirección y a los comités directivos de las organizaciones a involucrarse activamente en la ciberseguridad de la empresa. De no hacerlo, las personas que ocupan los puestos de mando de la empresa se enfrentan a sanciones importantes que pueden alcanzar los 10 millones de euros o el 2% de los ingresos globales.

Cómo prepararse para cumplir con la Directiva NIS2

Como sucede con cualquier nueva normativa, las empresas se están encontrando con dificultades a la hora de incorporar la NIS2 a sus procesos. Según datos de la Agencia de Ciberseguridad de la Unión Europea (ENISA), las empresas de menor tamaño de los sectores energético y de la salud son las que están teniendo mayores dificultades para adaptarse.

Las empresas que mejor han superado los retos que les planteaba la NIS2 son las que se han apoyado en partners especializados en ciberseguridad como Vodafone Empresas que ofrecen a las empresas y administraciones públicas experiencia y soluciones de ciberseguridad para realizar evaluaciones de riesgos e implementar medidas de seguridad efectivas.

La importancia de contar con un socio especializado es fundamental, sobre todo para las empresas con menos recursos. Partners como Vodafone Empresas pueden realizar evaluaciones de riesgos detalladas y precisas e identificar vulnerabilidades que podrían pasar desapercibidas para el personal interno de la empresa. Además, pueden ofrecer soluciones personalizadas que se adaptan a las necesidades específicas de cada organización.

Beneficios de la NIS2 para la protección empresarial

La NIS2 no son sólo obligaciones que hay que cumplir, también ofrece una serie de beneficios tangibles y estratégicos que fortalecen la protección empresarial. Su principal ventaja es que fomenta una mayor madurez en la gestión de la ciberseguridad al obligar a las empresas a adoptar un enfoque proactivo y estructurado para la gestión de riesgos. Gracias a la NIS2 las empresas están mejor capacitadas para detectar vulnerabilidades y pueden prevenir y responder mejor ante los incidentes.

En definitiva, esta norma es una oportunidad para que las empresas fortalezcan sus defensas digitales, protejan sus activos más valiosos y aseguren su futuro en un panorama de amenazas en constante crecimiento. Con su adopción, además de incrementar la seguridad, se mejora la imagen y la reputación de la empresa.

Etiquetas relacionadas:

Compartir artículo:

Descargar artículo en PDF

Últimos artículos y novedades

Ver todos los artículos

Contacta con nosotros: Nuestra Visión