En un mundo cada vez más digitalizado, los ciberataques se han convertido en una amenaza constante y creciente. Para hacer frente a este desafío, la Unión Europea (UE) ha dado un paso decisivo con la Directiva de Seguridad de Red e Información 2 (NIS2), que actualiza y amplía la normativa de 2016. Esta nueva regulación, que ya está en proceso de transposición en España a través de la Ley de Coordinación y Gobernanza de la Ciberseguridad, promete transformar la cultura corporativa en materia de ciberseguridad, afectando a más de 33.000 empresas en sectores críticos y esenciales.

Un marco jurídico unificado para la ciberseguridad en la UE

La NIS2 establece un marco jurídico unificado para los Estados miembros de la UE, con el objetivo de proteger los sistemas de redes e información, así como a sus usuarios, frente a ciberamenazas. A diferencia de estándares voluntarios como el NIST CSF 2.0, la NIS2 impone obligaciones legales específicas para sectores esenciales y servicios digitales, priorizando la seguridad y la resiliencia en un contexto transfronterizo.

Jacinto Cavestany, CEO de Evolutio, compañía especializada en servicios cloud y ciberseguridad, destaca la urgencia de esta normativa: “Los ciberdelincuentes están incrementando la sofisticación de sus ataques, poniendo en riesgo no solo la información, sino también la continuidad del negocio. La NIS2 llega para fortalecer las defensas corporativas y garantizar una respuesta coordinada frente a estas amenazas”.

Los cinco pilares de la NIS2 que transformarán las organizaciones

Evolutio ha identificado cinco aspectos clave de la NIS2 que marcarán un antes y un después en la estrategia de ciberseguridad de las empresas:

1. Identificación de entidades esenciales e importantes
   La NIS2 establece un enfoque específico en sectores de alta criticidad, como energía, transporte, banca, sanidad, agua, infraestructuras digitales y administración pública. Además, incluye otros sectores como servicios postales, gestión de residuos, producción de alimentos y seguridad privada. En España, se estima que más de 33.000 empresas con más de 50 empleados se verán afectadas. Para 17 de abril de 2025, los Estados miembros deben elaborar un listado de estas entidades, que será revisado cada dos años.
2. Planificación con medidas adecuadas y proporcionales
   Las organizaciones deberán implementar medidas de gestión de riesgos adaptadas a su tamaño, impacto potencial y gravedad de los incidentes. Esto incluye políticas de seguridad, análisis de amenazas, procedimientos de detección y respuesta, planes de continuidad y formación continua para empleados. La integración de expertos en seguridad y regulación será fundamental para garantizar el cumplimiento normativo.
3. Gestión de riesgos en la cadena de suministro
   Los ciberataques dirigidos a la cadena de suministro han aumentado significativamente, explotando vulnerabilidades en infraestructuras tecnológicas. La NIS2 obliga a las entidades esenciales a garantizar la seguridad de sus proveedores mediante acuerdos contractuales y evaluaciones de calidad y resiliencia. Esto requiere soluciones avanzadas que limiten accesos no autorizados y ofrezcan mayor visibilidad y control.
4. Responsabilidad en la alta dirección
   La NIS2 eleva el nivel de responsabilidad de los ejecutivos, quienes deberán aprobar y supervisar las medidas de ciberseguridad, adquirir conocimientos en gestión de riesgos y garantizar la formación continua de los empleados. La implementación de auditorías y mecanismos de control será clave para asegurar el cumplimiento y evitar sanciones.
5. Notificación obligatoria de incidentes significativos
   Las empresas tendrán que informar cualquier incidente, ciberamenaza o “cuasiincidente” a las autoridades competentes en plazos específicos: 24 horas para una alerta temprana, 72 horas para una notificación inicial y un informe final en un mes. El incumplimiento de estas obligaciones puede resultar en sanciones más severas que las anteriores.

Impacto en la inversión y el futuro de la ciberseguridad

La implementación de la NIS2 ya está impulsando el gasto en ciberseguridad en la UE. Según la Agencia de la Unión Europea para la Ciberseguridad (Enisa), la seguridad de la información representó el 9% de las inversiones en TI en 2023, alcanzando los 1,4 millones de euros.

“La NIS2 representa un avance significativo en la ambición de la UE por fortalecer la ciberseguridad. En Evolutio, integramos la seguridad en las estrategias tecnológicas de nuestros clientes desde el primer momento, ayudándoles a prevenir amenazas y cumplir con la normativa”, concluye Cavestany.

En un escenario donde los ciberataves son cada vez más frecuentes y sofisticados, la NIS2 se erige como un instrumento clave para proteger a las empresas esenciales y garantizar la resiliencia de la economía digital europea. Las organizaciones que actúen con proactividad y enfoque estratégico no solo cumplirán con la ley, sino que también estarán mejor preparadas para enfrentar los desafíos del futuro.

Evolutio es una compañía española con más de 30 años de experiencia en servicios cloud y ciberseguridad. Con sede en Madrid, su misión es impulsar la innovación y la transformación digital de sus clientes corporativos y de la administración pública, garantizando la seguridad y el cumplimiento normativo en un mundo cada vez más interconectado.