¿Qué es la directiva NIS2?
NIS2 es la directiva europea de ciberseguridad para sectores esenciales e importantes, que eleva las exigencias de gestión de riesgos, obliga a notificar incidentes en plazos estrictos y responsabiliza directamente a la dirección de las empresas.
NIS2 amplía el alcance de la anterior directiva NIS a muchas más organizaciones: energía, transporte, banca, sanidad, infraestructura digital, Administración pública, fabricación, alimentación y más, en general a partir de mediana empresa. También alcanza a los proveedores de esas entidades por la vía de la cadena de suministro.
Impone cuatro grandes obligaciones: gestión de riesgos de ciberseguridad, notificación de incidentes significativos (alerta temprana en 24 horas y notificación más detallada en 72), responsabilidad de los órganos de gobierno (ya no es "cosa de IT") y control de la seguridad de los proveedores.
Lo que un auditor o un cliente quiere ver no son políticas bonitas, sino evidencias: logs reales, un informe de restauración de backup que funcionó, un simulacro de incidente cronometrado y un acta de la dirección.
Preguntas frecuentes
¿NIS2 me aplica?
Probablemente sí si operas en un sector esencial o importante con cierto tamaño (en general 50+ empleados o 10M€+ de facturación), o si eres proveedor de una entidad que sí está sujeta. Conviene verificarlo con detalle porque hay excepciones que rebajan el umbral en sectores críticos.
¿Qué plazos de notificación marca NIS2?
Ante un incidente significativo: alerta temprana en 24 horas, notificación más detallada en 72 horas e informe final posterior. Esto exige tener detección y procesos de respuesta listos antes de que ocurra nada.
Servicios relacionados
¿Lo aplicamos a tu caso?
Cuéntanos tu proyecto y un especialista te propone la arquitectura, los plazos y el presupuesto. Sin coste y sin compromiso.