KabeenKabeenIT Playbook
Découvrir Kabeen
Glossaire
NGlossaire

NIS2

Directiva europea de ciberseguridad que extiende las exigencias NIS a 18 sectores críticos, transpuesta al derecho nacional en 2024-2025.

NIS2 (Network and Information Security 2, Directiva UE 2022/2555) es la directiva europea que refuerza y extiende las exigencias de ciberseguridad en Europa. Reemplaza la directiva NIS original (2016) y se aplica a un perímetro ampliado — alrededor de 160.000 entidades en la UE, contra 18.000 bajo NIS.

Quién está afectado por NIS2

NIS2 cubre 18 sectores críticos:

### Sectores «esenciales» (11 sectores)

Energía, transportes, banca y mercados financieros, salud, agua, infraestructuras digitales, administración pública, espacio.

### Sectores «importantes» (7 sectores)

Servicios postales, gestión de residuos, productos químicos, alimentario, fabricación, prestadores de servicios digitales, investigación.

### Criterios de tamaño

NIS2 se aplica a las entidades de al menos 50 asalariados o 10 M€ de cifra de negocios.

Las obligaciones NIS2

### 1. Gobernanza y responsabilidad

El comité ejecutivo es personalmente responsable.

### 2. Gestión de los riesgos cyber

Política de seguridad de la información, gestión de los incidentes, PCA / PRA, seguridad de la cadena de suministro, seguridad red y sistemas, criptografía, seguridad de los recursos humanos, MFA.

### 3. Notificación de incidentes

  • Alerta temprana: en las 24 horas.
  • Notificación detallada: en las 72 horas.
  • Reporte final: en el mes.

### 4. Supervisión y sanciones

  • Multas administrativas hasta 10 M€ o 2 % de la cifra de negocios mundial para las entidades esenciales.
  • Sanciones individuales: para los dirigentes.

NIS2 y la cartografía aplicativa

NIS2 exige (artículos 21 y 23):

  • Un inventario actualizado de los activos críticos.
  • La cartografía de los prestadores TI.
  • El seguimiento de las vulnerabilidades (cf. SBOM).
  • La trazabilidad de los accesos.

Kabeen aporta un grafo vivo del SI.

NIS2 vs. NIS vs. [DORA](/es/glossary/dora)

  • NIS: (2016): 7 sectores, ~18.000 entidades.
  • NIS2: (2024): 18 sectores, ~160.000 entidades.
  • DORA: lex specialis para el sector financiero europeo.

Puesta en conformidad

Proceso tipo en 12 a 18 meses:

  1. Diagnóstico de elegibilidad.
  2. Gap analysis.
  3. Cartografía del SI crítico.
  4. Política de gestión de los riesgos.
  5. Procedimiento de notificación de los incidentes.
  6. Programa de sensibilización.
  7. Auditoría interna anual.
  8. Registro ante la autoridad competente.

Questions fréquentes

¿Qué es NIS2?

NIS2 (Network and Information Security 2, directiva UE 2022/2555) es la directiva europea que refuerza las exigencias de ciberseguridad en Europa. Reemplaza NIS original (2016) y se aplica a alrededor de 160.000 entidades europeas — en 18 sectores críticos — con obligaciones reforzadas de gestión de los riesgos cyber, notificación de incidentes y supervisión.

¿Mi empresa está afectada por NIS2?

NIS2 se aplica a las entidades de al menos 50 asalariados o 10 M€ de CA que operan en 18 sectores críticos: energía, transportes, banca, salud, agua, infraestructuras digitales, administración pública, pero también fabricación, alimentario, servicios postales, prestadores digitales, investigación.

¿Qué sanciones se arriesgan en caso de incumplimiento de NIS2?

Para las entidades esenciales: hasta 10 M€ o 2 % de la cifra de negocios mundial. Para las entidades importantes: hasta 7 M€ o 1,4 %. Sanciones individuales para los dirigentes en caso de incumplimiento grave. Posibilidad de suspensión de actividad en los casos extremos.

¿Diferencia entre NIS2 y DORA?

NIS2 cubre 18 sectores críticos europeos (energía, salud, transportes, agua, administración pública, etc.). DORA es lex specialis para el sector financiero: bancos, seguros, gestores de fondos. Una entidad financiera depende de DORA y no de NIS2.