Directiva NIS2 (III): Principales obligaciones, medidas de seguridad y requisitos clave

2 de julio de 2025

Ante el aumento de las ciberamenazas y la dependencia digital, la Directiva NIS2 presenta sus directrices para mejorar la ciberseguridad de las infraestructuras críticas, asegurando asimismo la ciberresiliencia y la gobernanza de la cadena de suministro. ¿Quiénes deben cumplir con la directiva? ¿Qué disposiciones deben seguir?

Es importante señalar que las directrices de la NIS2 abarcan una amplia gama de entidades consideradas "esenciales" o "importantes". Estas entidades pueden tener menos de 10 empleados o más y un volumen de negocio o balance general anual inferior o superior a 43 millones de euros, y deben cumplir con los requisitos establecidos.

No obstante, aquellas entidades relevantes para la seguridad nacional o la estabilidad económica, independientemente de su tamaño, también pueden ser designadas como sujetas a las obligaciones de la NIS2.

Clasificación de entidades y niveles de supervisión

Conforme a la clasificación de las entidades en dos grupos en función de su importancia e impacto potencial:

  • Esenciales: Estas están sujetas a la supervisión reglamentaría más estricta, que incluye auditorias periódicas y evaluaciones proactivas de ciberseguridad. Sus medidas deben ser de aplicación tanto “a priori como a posteriori” como es el caso de los posibles ciberincidentes lo cual podrá llevar suspensiones, multas o prohibiciones; es muy preciso tener en cuenta la “responsabilidad civil profesional” por los incumplimientos.
  • Importantes: Estas se enfrentan a un régimen de aplicación menos estricto, con acciones de cumplimiento que normalmente se inician sólo después de incidentes o incumplimientos detectados. Aquí el régimen de supervisión, desempeñado por los profesionales cualificados también puede verse comprometidos por la “responsabilidad civil profesional” por los incumplimientos.

Responsabilidades clave en la gestión de ciberriesgos

Los órganos de dirección desempeñan un papel esencial, indistintamente de la clasificación que tenga la entidad, ya que el incumplimiento por su parte de la directiva puede traer consigo consecuencias significativas; por lo que han de ser responsables de:

  • Aprobación de la adecuación de las medidas de gestión de ciberriesgos.
  • Supervisión de la aplicación de las medidas de gestión de ciberriesgos.
  • Formarse en aras de adquirir conocimientos y habilidades suficientes para identificar y evaluar los ciberriesgos y su impacto al negocio.
  • Desarrollar una cultura de concienciación y formación periódica a todas las esferas estructura de la organización.
  • Responsabilizarse del incumplimiento.
Cuantificación del Ciberriesgo
Ciberseguridad
Cuantificación del Ciberriesgo
28 de mayo de 2025

Estas acciones deben de materializarse a través de la implementación de medidas o controles técnicos, operativos y estratégicos acorde a la proporcionalidad para gestionar los ciberriesgos en aras de prevenir y minimizar su impacto en el negocio y los servicios en cadena de suministro de terceros.

Sanciones y medidas ante el incumplimiento de la directiva NIS2

Por otro lado, NIS2 otorga a las autoridades de regulación nacional poderes sobre las entidades afectadas tras un incumplimiento. Estos poderes incluyen la suspensión, la imposición de multas, la designación de un responsable de supervisión, la orden de comunicar a las partes involucradas, la garantía de la aplicación de medidas y/o advertencias por incumplimiento.

Es importante destacar que la medida de prohibición temporal del ejercicio de funciones directivas para el CEO o representante legal se aplicaría únicamente a entidades esenciales, no a entidades importantes.

Las sanciones por incumplimiento pueden incluir multas de hasta 10 millones de euros o el 2% del volumen de negocio global para las entidades esenciales, y de 7 millones de euros o el 1,4% del volumen de negocios para las entidades importantes.

Conclusión

Las nuevas exigencias financieras y operativas introducidas por NIS2 son claras, incluyendo inversiones en tecnologías, ciberseguridad, formación y la obligación del ciberseguro para mitigar la exposición financiera derivada de un ciberincidente.

Para alinear estos costes y esfuerzos de cumplimiento con la estrategia empresarial, las organizaciones deben priorizar la cuantificación de ciberriesgos, el análisis de coste-beneficio y realizar inversiones estratégicas en una ciberseguridad sólida y proactiva.

MÁS DE ESTA SERIE

Directiva NIS2 (I): Repensando la Ciberseguridad en un contexto complejo e hiperconectado
Telefónica Tech
Ciberseguridad
Directiva NIS2 (I): Repensando la Ciberseguridad en un contexto complejo e hiperconectado
17 de junio de 2025
Directiva NIS2 (II): obligaciones de Ciberseguridad y su impacto en las empresas europeas
Telefónica Tech
Ciberseguridad
Directiva NIS2 (II): obligaciones de Ciberseguridad y su impacto en las empresas europeas
24 de junio de 2025
Directiva NIS2 (IV): el coste del incumplimiento en Ciberseguridad
Telefónica Tech
Ciberseguridad
Directiva NIS2 (IV): el coste del incumplimiento en Ciberseguridad
8 de julio de 2025

SandaS GRC: nuestra solución integral para cumplir con las normativas NIS2, ENS y RGPD
Telefónica Tech
Ciberseguridad
SandaS GRC: nuestra solución integral para cumplir con las normativas NIS2, ENS y RGPD
23 de julio de 2025