Cómo repercute la Directiva NIS 2 de ciberseguridad en las empresas españolas
- Seguridad

Esta actualización de la norma afectará a empresas medianas y grandes de sectores esenciales y críticos, que deberán fortalecer su ciberseguridad para evitar las sanciones establecidas en la nueva directiva. En España, aún está en el aire qué compañías tendrán que adaptarse a la norma, que entra hoy en vigor.
España registró 107.777 ciberataques en 2023, un 94 % más que en 2022. Estas impactantes cifras han llevado a la Unión Europea a actuar y lanzar la Directiva NIS 2, una actualización que refuerza los requisitos de la actual NIS, vigente desde 2016. La principal novedad es que establece una mayor supervisión y sanciones más estrictas para la protección de los sistemas de información de más de 100.000 empresas de toda Europa.
La UE ha establecido de plazo hasta hoy 17 de octubre para que todos los estados miembros adapten la nueva normativa a sus respectivas legislaciones. Aunque es posible que en España la aplicación de la norma se demore algunos meses, las organizaciones de los sectores afectados deben aprovechar este período para prepararse y adaptar su operativa a los requisitos establecidos en la NIS 2.
Esto incluye documentar meticulosamente sus procesos, establecer medidas sólidas de gestión de riesgos, protección de datos y respuesta a incidentes, así como cumplir con las normativas de notificación de ciberataques. Además, la implementación de la NIS 2 también exige integrar un Sistema de Gestión de la Seguridad de la Información (SGSI) para proteger y garantizar la confidencialidad, integridad y disponibilidad de la información.
Empresas que deben cumplir la Directiva
La normativa establece una división en función de la importancia crítica del sector en que desarrollen su actividad:
- Entidades Esenciales: las dedicadas al transporte, energía, banca, salud o agua.
- Entidades Importantes: servicios postales y de mensajería, gestión de residuos, producción, procesamiento y distribución de alimentos, proveedores digitales, investigación.
- Estas empresas podrán ser pequeñas, medianas o grandes empresas tanto privadas como públicas.
Si la empresa no cumple con la normativa, esta incluye un endurecimiento de las sanciones en caso de incumplimiento: para las entidades esenciales, las multas pueden alcanzar la cifra de 10 millones de euros o el equivalente al 2% de su negocio total anual global; y en el caso de las entidades importantes, pueden llegar a 7 millones de euros o a un máximo del 1,4% de su negocio total anual global.
La Directiva NIS 2 establece un marco europeo común de ciberseguridad para proteger infraestructuras críticas y servicios esenciales contra ciberataques. En particular, en España representa una oportunidad única para modernizar y fortalecer la red seguridad digital, esencial para el desarrollo económico y la seguridad nacional, señala TÜV Rheinland.