top of page
Buscar

NIS2: la nueva directiva europea de ciberseguridad explicada de forma clara

  • Ascicat
  • 20 oct 2025
  • 3 Min. de lectura

La nueva Directiva NIS2 marca un antes y un después en la forma en que empresas e instituciones europeas gestionan la ciberseguridad . Para entender qué implica y cómo afecta a las organizaciones, Rafael Jimeno , abogado especializado en derecho digital y fundador de Uneon – empresa asociada a ASCICAT – , ofrece una explicación sencilla y directa en este vídeo divulgativo .

No es sólo una norma técnica: la NIS2 representa un cambio de cultura que impulsa la resiliencia , la prevención y la capacidad de respuesta ante los incidentes digitales.


¿Qué es la NIS2?

La NIS2 (Network and Information Security Directive) es la nueva normativa europea sobre seguridad de las redes y la información .

Sustituye a la NIS1 y amplía tanto el alcance como las obligaciones para empresas públicas y privadas.

Su objetivo principal es:

  • Garantizar que las organizaciones mantengan su actividad ante un ciberincidente.

  • Minimizar el impacto y evitar la propagación de ataques.

  • Fortalecer la coordinación europea en materia de ciberseguridad.


¿A quién afecta a la NIS2?

Esta directiva afecta a miles de empresas e instituciones en toda Europa. En concreto:

  • Administraciones públicas (estatales, autonómicas y locales).

  • Empresas con más de 50 trabajadores o una facturación superior a los 10 millones de euros .

  • Sectores esenciales y críticos como energía, agua, sanidad, finanzas, alimentación, logística, gestión de residuos, transportes o infraestructuras digitales.

  • También proveedores tecnológicos y la cadena de suministro de estas organizaciones, incluso si son PYMEs.

“La NIS2 no sólo regula grandes empresas: afecta a cualquier actor que forme parte de un servicio esencial o sea proveedor directo”, destaca Rafael Jimeno, abogado de Uneon.

¿Cuándo se aplica la NIS2?

La directiva entró en vigor en enero de 2023 y los Estados miembros tienen hasta el 17 de octubre de 2024 para adaptarla a su legislación nacional. En España, el proyecto de ley de transposición está en su fase final, y muchas organizaciones ya han empezado a aplicarla para anticiparse a los futuros requerimientos legales y contractuales.


¿Qué obligaciones introduce?

La NIS2 establece medidas técnicas, jurídicas y organizativas para garantizar un nivel común de seguridad.


Medidas técnicas:

  • Autenticación multifactor (MFA) y cifrado de datos .

  • Copias de seguridad inmutables y desconectadas de la red principal.

  • Auditorías de riesgos y pruebas de intrusión (pentestes) anuales.

  • Sistemas de detección y respuesta (SOC, SIEM, XDR).


Medidas jurídicas y organizativas:

  • Formación y concienciación de todo el personal.

  • Planes de continuidad y contingencia frente a incidentes.

  • Revisión de contratos con proveedores críticos.

  • Comunicación obligatoria de incidentes en un máximo de 24 horas .

  • Responsabilidades definidas a nivel directivo y de gestión .

"La NIS2 nos obliga a madurar como organizaciones digitales -explica Jimeno-. Al igual que la DGT nos obliga a llevar cinturón de seguridad, ahora la Unión Europea nos pide llevar 'cinturón digital'."

¿Qué sanciones prevé la NIS2?

Las sanciones por incumplimiento pueden llegar hasta los 10 millones de euros o el 2% de la facturación global anual . Incluso las infracciones leves pueden acarrear multas importantes y un impacto reputacional si no se notifica un incidente dentro del plazo establecido.


¿Cómo empezar a cumplir con la NIS2?

Según Rafael Jimeno, estos son los tres pasos esenciales para empezar con buen pie:

  1. Formar a toda la plantilla en ciberseguridad.

  2. Implementar backups inmutables y segregados .

  3. Realizar pruebas de intrusión y revisar los proveedores críticos .

La clave, dice, es entender que la NIS2 no es un proyecto puntual, sino un continuo proceso de auditoría, seguimiento y mejora constante.



 
 
 

Comentarios

bottom of page