Directiva Europea NIS2

Adecuación para el cumplimiento de la Directiva Europea NIS2

Consulta con nuestros expertos
Accede al webinar (bajo demanda)

Directiva Europea NIS2

Adecuación para el cumplimiento de la Directiva Europea NIS2

Consulta con nuestros expertos
Solicitar webinar (bajo demanda)

¿Qué es la NIS2?

La Directiva Europea NIS2, que entró en vigor el 18 de octubre de 2024, busca estandarizar las medidas en ciberseguridad a nivel europeo y es de obligado cumplimiento en sectores esenciales de entidades públicas y privadas.

Se trata de medidas legales (técnicas, operativas y de organización) que garantizan un elevado nivel común en ciberseguridad y eliminan las diferencias pronunciadas entre los Estados miembros.

¿Qué entidades están afectadas por el cumplimiento de la NIS2?

Además de todos los sectores bajo la categoría de “entidades esenciales” y dentro del umbral de tamaño de las “entidades importantes”

  • Administración Púbica: La administración pública con excepciones.
  • Entidades esenciales: Umbral de tamaño: varía según el sector, pero generalmente 250 empleados, facturación anual de 50 millones de euros o balance de 43 millones de euros.
  • Entidades Importantes: Umbral de tamaño: varía según el sector, pero generalmente 50 empleados, facturación anual de 10 millones de euros o balance general de 10 millones de euros.
  • Cadena de suministro. Empresas que proporcionen servicios a las anteriores.

Esta página explica cómo abordar la adecuación a NIS2 desde un enfoque práctico: evaluación inicial, brechas, priorización de medidas, evidencias y gobierno. El objetivo es convertir el cumplimiento en un plan ejecutable, alineado con operaciones y riesgo, y con trazabilidad para auditorías y comités.

Guía de cumplimiento

Descárgate la guía de cumplimiento para conocer los aspectos básicos de la Directiva NIS2.

Fuente: Centro Criptológico Nacional 

Ámbito de aplicación | Sector Público

Descárgate esta guía con los ámbitos de aplicación de la NIS2 en entidades del sector público.

Fuente: Centro Criptológico Nacional 

Aprende con nuestros expertos

¿Cómo cumplir con la NIS2,
la nueva normativa Europea de Ciberseguridad?

Solicita aquí el webinar bajo demanda, donde se habla de las obligaciones impuestas a los Estados miembros y entidades, incluyendo medidas de gestión de riesgos, supervisión y notificación de incidentes, así como la importancia del intercambio de información para mejorar la resiliencia cibernética.

Solicita más información


    ¿Cómo ayuda NexTReT con la NIS2?

    La Directiva NIS2 (Network and Information Security 2) es una normativa europea de ciberseguridad que refuerza y amplía el marco legal para proteger las redes y sistemas de información de la Unión Europea. Su objetivo es establecer un nivel de seguridad común más alto y coherente en todos los Estados miembros mediante obligaciones sobre gestión de riesgos, notificación de incidentes y supervisión de entidades críticas y sensibles.

    NIS2 se aplica a organizaciones públicas y privadas que pertenezcan a sectores considerados críticos o de alta importancia para la economía o la sociedad europea. Esto incluye un amplio espectro de sectores como energía, transporte, banca, salud, agua, infraestructuras digitales, servicios TIC, gestión de residuos, alimentación o investigación, entre otros.

    Dentro de estos sectores, la directiva suele exigir cumplimiento a medianas y grandes organizaciones (por ejemplo, empresas con más de 50 empleados o cierto volumen de negocio), aunque también puede aplicar a entidades más pequeñas si su actividad es esencial o tiene impacto significativo en el interés público.

    1. Identificar si tu organización está dentro del ámbito de aplicación según sector y tamaño.

    2. Realizar un diagnóstico o evaluación de madurez de ciberseguridad para conocer la situación actual frente a los requisitos de NIS2.

    3. Definir un plan de adecuación con medidas prioritarias (gestión de riesgos, políticas, controles técnicos, respuesta a incidentes, etc.).

    4. Asignar responsabilidades internas y/o apoyo externo para implementar y supervisar las mejoras.

    5. Registrar la entidad ante la autoridad competente y comenzar a cumplir con las obligaciones de notificación de incidentes y de gobernanza señaladas por la directiva.

    Este proceso implica tanto aspectos técnicos como de organización y debe integrarse en la gestión de riesgos de la empresa.