La Directiva NIS2 y sus requisitos de Ciberseguridad: Empresas afectadas, obligaciones y sanciones

En un mundo cada vez más digitalizado, la ciberseguridad se ha convertido en un pilar fundamental para la protección de infraestructuras críticas y servicios esenciales. Para hacer frente a las amenazas digitales, España aprobó la Directiva NIS2 el 14 de enero de 2025. Aunque la transposición oficial aún está en proceso, las empresas afectadas por la directiva deben comenzar a implementar las medidas necesarias para cumplir con sus disposiciones.

¿Qué es la Directiva NIS2?

La Directiva NIS2 es una normativa de la Unión Europea diseñada para mejorar la ciberseguridad en sectores esenciales y de alta criticidad. Su propósito es fortalecer la protección de las redes y sistemas de información frente a ciberataques, interrupciones y amenazas digitales.

Empresas y entidades afectadas

Las entidades en el ámbito de la NIS2 pueden identificarse o ser designadas como esenciales o importantes. Con carácter general, NIS2 se aplicará a:

• Medianas empresas: entre 50 y 250 empleados, y entre 10 y 50 millones de euros de ingresos anuales.
• Grandes organizaciones: más de 250 empleados y 50 millones de euros de ingresos anuales.

Hay casos en que una pequeña empresa puede tener que cumplir con NIS2. Por ejemplo, si su actividad es considerada crítica o esencial.

Sectores en el ámbito de la Directiva NIS2

En la NIS2 las entidades se dividen según sus actividades en dos tipos de sectores:

Sectores de alta criticidad

• Energía
• Transporte
• Sector sanitario
• Banca e Infraestructura de mercados financieros
• Gestión de servicios TIC
• Agua potable y residuales
• Infraestructura digital
• Administraciones Públicas
• Espacio

Otros sectores críticos

• Servicios postales y de mensajería
• Gestión de residuos
• Fabricación, producción y distribución de sustancias y mezclas químicas
• Producción, transformación y distribución de alimentos
• Proveedores de servicios digitales
• Fabricación
• Investigación

Requisitos clave para las empresas

Para cumplir la Directiva NIS2, las entidades deben adoptar medidas técnicas, operativas y organizativas adecuadas y proporcionales para gestionar los riesgos de ciberseguridad que afrontan, así como para prevenir o reducir al mínimo el impacto de los incidentes en sus propios servicios y en los de terceros.

Entre las medidas se encuentran:

• Políticas de seguridad y análisis de riesgos de los sistemas de información.
• Gestión de incidentes.
• Continuidad de las actividades, como la gestión de copias de seguridad y la recuperación en caso de catástrofe.
• Seguridad de la cadena de suministros.
• Formación en ciberseguridad.
• Criptografía y cifrado.
• Evaluar la eficacia de las medidas para la gestión de riesgos de ciberseguridad.

Multas y sanciones

En caso de incumplir con los requisitos se establecen las siguientes cuantías de referencia:

• Para las “entidades esenciales”: las sanciones podrán llegar a los 10 millones de euros o un máximo de un 2% del volumen de negocio anual total a nivel mundial del ejercicio financiero anterior.

• Para las “entidades importantes”: las sanciones podrán llegar a los siete millones de euros o a un máximo de un 1,4% del volumen de negocio anual total a nivel mundial del ejercicio financiero anterior.

¿Cómo puede cumplir tu Empresa la NIS2?

Desde DANTIA Tecnología, te ayudamos a cumplir con los requisitos de la Directiva NIS2 a través de nuestros servicios especializados en Ciberseguridad. Ofrecemos asesoramiento e implementación de medidas de protección para garantizar que tu Empresa se adapte a la nueva normativa de manera eficiente y segura. Contacta con nosotros y comienza a prepararte.