Directiva NIS2 (I): Repensando la Ciberseguridad en un contexto complejo e hiperconectado

17 de junio de 2025

La Ciberseguridad es una pieza clave de las estrategias de cualquier organización. Navegamos en un panorama cibernético de gran complejidad, debido a que las ciberamenazas se han vuelto sistémicas, transnacionales y cada vez más sofisticadas.

Por eso, la Unión Europea (UE) ha dispuesto la Directiva NIS2 2022/2555 que subraya la necesidad de solidas medidas en aras de reforzar las capacidades de ciberresiliencia. Los ciberataques dirigidos a infraestructuras críticas, cadenas de suministro e instituciones gubernamentales no solo están aumentado en frecuencia sino también en impacto, con consecuencias financieras, operativas y geopolíticas. ¿Deben por tanto las organizaciones replantearse todo su enfoque de la ciberseguridad y ciberresiliencia?

Impacto de la Directiva NIS2 en la gobernanza y la Ciberseguridad empresarial

La Directiva NIS2 es el marco actualizado de ciberseguridad de la Unión Europea, que reemplaza la Directiva NIS1 2016/1148 para abordar los retos y desafíos cibernéticos, así como las deficiencias regulatorias y las incoherencias en la aplicación por los diferentes Estados miembros.

■ La Directiva NIS1 estableció precedentes en las bases de la gobernanza de la Ciberseguridad, aunque se vio significativamente afectada por la fragmentación de las implementaciones nacionales, lo cual expuso vulnerabilidades en sectores críticos.

En consecuencia, la Directiva NIS2 amplía su alcance al abarcar más sectores, reforzando los requisitos de seguridad e introduciendo mecanismos de control más estrictos, incluidas sanciones más elevadas y responsabilidad ejecutiva, diferenciándose de NIS1 por su flexibilidad de aplicación.

La nueva directiva nos impone un enfoque unificado, basado en riesgos, en aras de garantizar una mayor ciberresiliencia en toda la UE. Por esto amplia significativamente el ámbito de las entidades reguladas, yendo más allá de los sectores tradicionales de infraestructuras criticas como la energía, el transporte y la sanidad para incluir a los proveedores de servicios digitales, la administración pública, la gestión de residuos y la industria manufacturera.

La nueva directiva nos impone un enfoque unificado, basado en riesgos, en aras de garantizar una mayor ciberresiliencia en toda la UE.

Con esta ampliación, la UE refleja el reconocimiento de que las ciberamenazas modernas que no se limitan a los sectores críticos tradicionales, sino que a su vez se extienden a las cadenas de suministro interconectadas o transnacionales y a los servicios esenciales.

Las organizaciones categorizadas quedan identificadas como 'esenciales' e 'importantes', por lo que deben adherirse a estrictas medidas de ciberseguridad. Esto viene a transformar la idea de que la Ciberseguridad no es solo una cuestión de TI, sino un pilar esencial de la continuidad empresarial, resiliencia y la gestión de riesgos.

Medidas y requisitos para garantizar la ciberresiliencia

Por lo tanto, se introduce un conjunto de medidas mínimas para la gestión de ciberriesgos que todas las entidades bajo su alcance deben aplicar. Estas medidas incluyen la gestión de identidades y accesos, el cifrado, la autenticación robusta, la seguridad de la cadena de suministro y los planes de respuesta a ciberincidentes.

Esto también requiere supervisión continua, evaluaciones periódicas de la seguridad y estrategias de gestión de crisis para asegurar que las organizaciones puedan detectar, responder y recuperarse de los ciberincidentes de manera efectiva. Además, el cumplimiento debe ser demostrable, con documentación clara de gobernanza, lo que hace que la Ciberseguridad sea una responsabilidad a nivel de dirección en lugar de una preocupación operativa.

La Ciberseguridad es un pilar esencial de la continuidad empresarial, resiliencia y la gestión de riesgos.

Algo muy significativo en esta directiva es su énfasis en la seguridad de la cadena de suministro, dando reconocimiento a que muchos ciberincidentes provienen de vulnerabilidades en proveedores de terceras y cuartas partes. Ahora se exige que se evalúen y se gestionen los riesgos relacionados con la cadena de suministro, asegurando el cumplimiento regulatorio y técnico de Ciberseguridad.

En este contexto, se desplaza la responsabilidad de la mera protección de la infraestructura tecnológica a la supervisión activa y proactiva de la postura de Ciberseguridad de las terceras y cuartas partes, convirtiendo la Ciberseguridad en un esfuerzo de colaboración, capacidades y cooperación en lugar de una responsabilidad aislada. Sin embargo, hacer cumplir las normas de seguridad en cadenas de suministro complejas y globales sigue siendo un reto significativo.

Sanciones y responsabilidades ejecutivas en Ciberseguridad

Al mismo tiempo se introducen sanciones más estrictas para garantizar su cumplimiento, con multas económicas que alcanzan hasta 10 millones de euros o el 2% de la facturación anual global de una empresa categorizada como entidades esenciales y hasta 7 millones de euros o el 1,4% de la facturación para las entidades importantes.

Por otro lado, los directivos y los miembros de los consejos de administración pueden ser considerados como responsabilidad civil profesional de las cuestiones de ciberseguridad. Estas sanciones ponen en relieve que la Ciberseguridad ha pasado de ser un problema de TI a ser una prioridad a nivel ejecutivo, lo que demanda a las organizaciones a integrar la seguridad en sus marcos de gobernanza.

La gobernanza, por tanto, deja de ser una cuestión operativa o técnica para convertirse en una obligación estratégica y legal en todas las áreas del nivel ejecutivo. Los consejos de administración junto con los directivos deben supervisar activamente la gestión de los ciberriesgos, asegurando que los responsables de la toma de decisiones estén informados sobre el panorama corporativo de la Ciberseguridad, independientemente de la madurez que puedan exhibir y el impacto potencial de las ciberamenazas.

La Ciberseguridad ha pasado de ser un problema de TI a ser una prioridad a nivel ejecutivo.

Formación, notificación y estrategia empresarial en Ciberseguridad

Los directivos están obligados a recibir formación de ciberseguridad y pueden ser considerados como “responsabilidad civil profesional” de los incumplimientos. Con esto vemos que este cambio tiene la misión de integral la ciberseguridad en la estrategia empresarial, empujando a las organizaciones a dar prioridad a una gestión proactiva en lugar del cumplimiento reactivo.

Desde otro ámbito la notificación de ciberincidentes es muy estricta, obliga a las organizaciones a notificar ciberincidentes significativos.

■ Es fundamental no percibir la NIS2 como una carga adicional. Las organizaciones que poseen una visión y misión claras en sus estrategias pueden utilizar el cumplimiento de esta normativa como un elemento diferenciador en el mercado.

Adoptar y superar proactivamente los requisitos establecidos mejora la capacidad de ciberresiliencia corporativa, genera confianza entre los clientes y contribuye a liderar sectores, demostrando un compromiso con la seguridad.

Las prácticas sólidas de Ciberseguridad pueden constituir un argumento de venta convincente para las empresas que deseen atraer socios y clientes que valoren la seguridad. Asimismo, las organizaciones que integren el cumplimiento de la norma NIS2 en una estrategia de gestión de riesgos estarán más preparadas para adaptarse a futuros cambios normativos y enfrentar ciberamenazas.

Conclusión

Más allá del mero cumplimiento, un cambio en las ciberestrategias corporativas representa un momento importante en la evolución de la gobernanza de Ciberseguridad en Europa, ya que cambia el enfoque de los controles técnicos aislados a la ciberresiliencia estratégica en todas las organizaciones.

Es importante destacar que el éxito de una organización con NIS2 dependerá no solo del cumplimiento, sino de cómo la organización se adapte, innove y gestione en un entorno cibernético cada vez más complejo.