¿Mi empresa está obligada a cumplir con la Directiva NIS2?

De Carles Latorre

<span id="hs_cos_wrapper_name" class="hs_cos_wrapper hs_cos_wrapper_meta_field hs_cos_wrapper_type_text" style="" data-hs-cos-general-type="meta_field" data-hs-cos-type="text" >¿Mi empresa está obligada a cumplir con la Directiva NIS2?</span>

La Directiva NIS2 amplía el número de organizaciones obligadas a implantar medidas de ciberseguridad en toda la Unión Europea. Su objetivo es reforzar la protección de los sectores esenciales y mejorar la resiliencia frente a unas amenazas digitales cada vez más frecuentes y sofisticadas.

Aunque muchas organizaciones creen que esta normativa solo afecta a grandes compañías o infraestructuras críticas, la realidad es muy distinta. La NIS2 amplía considerablemente el número de empresas obligadas a implantar medidas de ciberseguridad y, en muchos casos, también alcanza a proveedores que forman parte de la cadena de suministro.

Por ello, una de las preguntas más habituales entre los responsables de empresa es: ¿está mi organización obligada a cumplir la NIS2?

¿Qué empresas deben cumplir la NIS2?

Como norma general, la directiva se aplica a organizaciones medianas y grandes que operan en sectores considerados esenciales o importantes para el funcionamiento de la economía y la sociedad.

Habitualmente, una empresa estará obligada cuando:

  • Tiene 50 o más empleados.
  • Supera los 10 millones de euros de facturación anual o balance general, y
  • Desarrolla su actividad en alguno de los sectores incluidos en la directiva.

Sin embargo, existen excepciones. Algunas pequeñas empresas también pueden quedar sujetas a la NIS2 cuando prestan servicios críticos, forman parte de la cadena de suministro de una organización esencial o su actividad tiene un impacto relevante sobre servicios considerados estratégicos.

¿Qué sectores están afectados por la Directiva NIS2?

La Directiva NIS2 distingue entre sectores esenciales y sectores importantes. Ambos deben implantar medidas de ciberseguridad, aunque el nivel de supervisión puede variar.

Sectores esenciales

Sectores importantes

Energía

Industria manufacturera

Transporte

Alimentación

Banca y servicios financieros

Empresas químicas

Sanidad

Gestión de residuos

Agua potable y aguas residuales

Servicios postales y logística

Infraestructuras digitales

Plataformas digitales y comercio electrónico

Proveedores de servicios TIC y ciberseguridad

Centros de investigación

Administraciones públicas

 

Si tu organización desarrolla su actividad en alguno de estos sectores y cumple los criterios de tamaño establecidos por la directiva, es recomendable analizar si está obligada a cumplir con la NIS2.

¿Qué exige la NIS2 a las empresas obligadas?

La directiva no se limita a solicitar herramientas de seguridad. Exige implantar una estrategia de gestión del riesgo que permita prevenir, detectar y responder ante incidentes de ciberseguridad.

Entre las principales obligaciones destacan:

La responsabilidad ya no recae únicamente en el departamento IT. La propia dirección de la empresa debe supervisar el cumplimiento de estas medidas.

¿Qué ocurre si una empresa no cumple la NIS2?

No cumplir con la NIS2 puede tener un impacto mucho mayor que una sanción administrativa. La directiva contempla multas de hasta 10 millones de euros o el 2 % de la facturación anual mundial, aplicándose la cantidad más elevada. Además, en determinados supuestos, la alta dirección puede asumir responsabilidades por una gestión insuficiente de los riesgos de ciberseguridad.

Más allá del aspecto económico, una organización que no esté preparada incrementa significativamente el riesgo de sufrir incidentes capaces de interrumpir su actividad, afectar a la confianza de clientes y proveedores y dificultar el cumplimiento de los requisitos exigidos por otras empresas de su cadena de suministro.

En definitiva, el mayor coste no suele ser la sanción, sino el impacto que un ciberataque puede tener sobre la continuidad del negocio, la reputación de la organización y su capacidad para seguir operando con normalidad.

¿Cómo prepararse para cumplir la NIS2?

Adaptarse a la NIS2 no consiste únicamente en implantar herramientas de seguridad. El proceso comienza analizando el nivel de madurez de la organización, identificando riesgos y definiendo un plan de adecuación que permita cumplir los requisitos de la directiva de forma progresiva.

Para muchas organizaciones, los primeros pasos suelen ser:

  • Evaluar el nivel actual de seguridad.
  • Identificar vulnerabilidades y riesgos.
  • Revisar las medidas de protección existentes.
  • Definir procedimientos de respuesta ante incidentes.
  • Supervisar continuamente la infraestructura tecnológica.
  • Garantizar la seguridad de proveedores y terceros.

Cuanto antes se inicie este proceso, más sencilla será la adaptación y menor será el impacto sobre la actividad de la empresa.

¿Por qué contar con ESED para adaptarse a la NIS2?

Adaptarse a la Directiva NIS2 va mucho más allá de implantar herramientas de seguridad. Requiere analizar el nivel de madurez de la organización, identificar riesgos, definir procedimientos y aplicar las medidas técnicas y organizativas exigidas por la normativa.

En ESED acompañamos a las empresas durante todo el proceso de adecuación a la NIS2. Analizamos la situación actual, identificamos los requisitos aplicables y diseñamos un plan de acción para ayudar a cumplir la normativa y reforzar la ciberseguridad de la organización.

Nuestro objetivo no es únicamente facilitar el cumplimiento normativo, sino ayudar a que cada empresa disponga de un entorno más seguro, resiliente y preparado para garantizar la continuidad del negocio frente a las amenazas actuales.

Nueva llamada a la acción