Digital Sevilla
29 de octubre de 2025
La ciberseguridad ya no es solo un asunto técnico: es una cuestión estratégica, transversal y regulada. Con la entrada en vigor de la Directiva NIS2, la Unión Europea refuerza su marco legal en materia de seguridad de las redes y sistemas de información, y obliga a las empresas a ir más allá de estándares voluntarios como ISO 27001 o Esquema Nacional de Seguridad.
¿Qué es NIS2 y por qué se le debe de prestar atención?
NIS2 (Network and Information Security 2) es la nueva directiva europea sobre ciberseguridad, que sustituye a la anterior NIS de 2016. Tiene como objetivo:
Mejorar el nivel común de ciberseguridad en la UE.
Aumentar la resiliencia frente a amenazas digitales.
Establecer obligaciones claras y exigibles para sectores estratégicos y empresas esenciales. Responsabilidades para la alta dirección de la empresa.
La gran novedad es que NIS2 no se queda solo en operadores críticos. Se amplía el alcance a muchas más organizaciones, incluyendo pymes que operen en sectores clave o que presten servicios digitales relevantes.
¿A quién afecta NIS2?
NIS2 introduce dos categorías principales:
Entidades esenciales: energía, transporte, sanidad, banca, administración pública, agua potable, etc. Y los Proveedores de servicios digitales de estas entidades: motores de búsqueda, proveedores de servicios de seguridad, servicios gestionados de seguridad, etc.
Entidades importantes: servicios digitales, fabricación de productos críticos, gestión de residuos, producción y distribución de productos químicos, servicios de mensajería etc.
Si la empresa forma parte de alguno de estos sectores o presta servicios relacionados, es muy probable que se esté obligado a cumplir con NIS2.
¿Qué exige NIS2 a las empresas?
A diferencia de ISO 27001 (de adhesión voluntaria), NIS2 establece requisitos legales y sancionables, entre los que destacan:
Implementar medidas técnicas y organizativas de ciberseguridad.
Establecer planes de gestión de riesgos.
Designar responsables de seguridad.
Notificar incidentes graves en plazos ajustados.
Gestionar la seguridad de la cadena de suministro.
Mantener registros y evidencias.
Someterse a auditorías y controles de cumplimiento.
Además, la directiva introduce régimen sancionador, con multas económicas importantes y posibilidad de responsabilidad directa para la alta dirección en caso de incumplimiento.
NIS2 y la ciberresiliencia
Lo que plantea la directiva no es solo un checklist técnico. NIS2 promueve un cambio cultural hacia la ciberresiliencia, entendida como la capacidad de anticipar, resistir, recuperarse y adaptarse ante ciberataques.
Esto implica que las empresas deben integrar la seguridad digital como parte de su estrategia global, no como una función aislada del área de IT.
NIS2 y ENS
Tras las últimas noticias que arrojó el CoCens el pasado 8 de octubre, la Agencia Estatal de Administración Digital y el Centro Criptológico Nacional del Centro Nacional de Inteligencia han expuesto ante la Unión Europea (UE) la alineación del Esquema Nacional de Seguridad (ENS) con los requisitos de la Directiva NIS2. Se espera que la NIS2 sea auditada como complemento del Esquema Nacional de Seguridad. Y, por tanto, el organismo regulador y supervisor de NIS2 será el CCN-CERT.
¿Y qué pasa con DORA?
Otro marco regulador clave es DORA (Digital Operational Resilience Act), centrado específicamente en la resiliencia digital del sector financiero. Si bien NIS2 tiene un enfoque más general y multisectorial, DORA será igualmente exigente para bancos, aseguradoras, entidades fintech y sus proveedores.
En próximos artículos, abordaremos en profundidad qué implica DORA y cómo pueden las organizaciones afectadas anticiparse a sus exigencias.
¿Cómo puede ayudar Ingade Connect?
En Ingade Connect acompañan a empresas de todos los tamaños a adaptarse a marcos normativos como NIS2, ENS e ISO 27001.
Ayudan a:
Identificar si la organización está afectada por la directiva.
Realizar un diagnóstico de ciberseguridad.
Implantar un sistema de gestión adaptado a NIS2 y ENS.
Prepararse para inspecciones o auditorías regulatorias.
